News Kerio gibt Firewalls auf

[Damocles' Sword]

Ich möchte den Hassern von Software-Firewalls hier mal etwas zu denken geben,was sie nicht kaputtreden können:

Wer sich mit 56k oder ISDN ins wählt,seine Ports geschlossen hat aber dennoch keine FW hat und sich dann einen DIALER einfängt kann sich auf eine saftige Rechnung gefasst machen.Ein Dialer startet einen Prozess,der automatisch aufs Netzwerk zugreift - dieses wird bspw. von ZoneAlarm oder ähnlichen Progs erkannt,und bevor der Dialer schaden anrichtet kann ich dem entsprechenden Prozess den Zugriff aufs Netzwerk verweigern.
Mag sein das es auch Dialer gibt die PFW umgehen,aber unter den vielen Tausend die da so im Net rumschwirren sind das mit Sicherheit die wenigsten.Man sollte also bei dieser Diskussion explizit Modem-User darauf hinweisen.

MfG
GWB

 

[Tarkus]

Du hast nicht zugehört! Wenn du einen Dienst brauchst, dann brauchst du ihn, wenn das ein Netzwerkdienst ist, dann ist das eben ein Netzwerkdienst und wenn du einen Netzwerkdienst brauchst, dann macht Blocken null komma nichts Sinn!

Oh doch, ich achte schon aus beruflicher Gewohnheit sehr genau auf Formulierungen. Es ist mir durchaus klar, dass es keinen Sinn macht, einen Dienst zu deaktivieren, den ich zur Ausführung bestimmter Aktionen zwingend benötige. Meine Frage zielte mehr in die Richtung, ob es Mittel gibt (wenn ja, welche), dieses erhöhte Risiko (wenigstens halbwegs) in den Griff zu bekommen.

Und da schließt sich nun auch wieder die Frage nach der (XP-) Firewall an. Diese würde mich zumindest darauf aufmerksam machen, dass irgendeine neue Software sich mit dem Internet verbinden will und um Freigabe bitten. Möglicherweise hatte ich ja bei der Installation dieser Software gar nicht mit einem solchen Verbindungsbedarf gerechnet!? In dem Fall hätte ich zumindest noch eine Chance, abzuwägen, ob mir diese Software das Risiko wirklich wert ist. Ich rede hier nicht von Programmen, deren Ziel es ist, mich zu schädigen, sondern von solchen, die halt schlicht und einfach aufs Internet zugreifen wollen, um überhaupt zu funktionieren.

Beispiel Google Earth (auch wenns vielleicht an den Haaren herbeigezogen sein mag): Google Earth an sich würde auch ohne Internetzugang funktionieren. Dann müssten allerdings sämtliche Daten auf dem lokalen System abgespeichert werden. Das dies aufgrund der Datenmenge wohl kaum praktikabel sein dürfte, ist aber nicht unbedingt jedem von vornherein klar? Spätestens beim ersten Programmstart (wäre ein zusätzlicher Windows-Dienst erforderlich, vielleicht schon bei der Installation) würde mir die Firewall dies aber melden. Dann hätte ich wenigstens noch die Möglichkeit, die Installation wieder rückgängig zu machen.

Wohl gemerkt! Ich rede von Software, der ich an sich durchaus vertraue (was sich jetzt nicht zwangsläufig auf Google Earth bezieht *s*). Mit Firewall würde ich über den für mich zunächst unerwarteten Verbindungsbedarf informiert und hätte dann die Möglichkeit zu entscheiden, ob ich das (damit verbundene Risiko offener Ports) wirklich akzeptieren will oder nicht. Und falls ja, siehe Frage oben: Wie kann ich das System dann trotzdem schützen?

Noch mal zu Verdeutlichung: Dass es Software gibt, die man besser gar nicht erst installieren sollte, die in der Lage ist, ''mutwillig'' eine Firewall auszutricksen, das steht auf einem anderen Blatt und da stimme ich zu, dass eine Firewall für solche Fälle nichts bringt. Ich sehe in ihr lediglich ein Tool, das mir sagt ''Hey, da will einer ne Tür aufmachen! Iss datt okeh so?''

 

[Limbus]

Wer sich mit 56k oder ISDN ins wählt,seine Ports geschlossen hat aber dennoch keine FW hat und sich dann einen DIALER einfängt kann sich auf eine saftige Rechnung gefasst machen.

Vielleicht sollte man dann weniger auf Pornoseiten rumsurfen.

 

[Damocles' Sword]

Vielleicht sollte man dann weniger auf Pornoseiten rumsurfen.

Threadtechnisch spielt es ÜBERHAUPT keine Rolle wo der Dialer herkommt.Die können übrigens in JEDEM Download versteckt sein.

 

[Frank Bicking]

Ich möchte den Hassern von Software-Firewalls hier mal etwas zu denken geben,was sie nicht kaputtreden können

Was soll diese Polemik? Nur weil man etwas nicht für sinnvoll erachtet, ist man kein "Hasser". Nur weil man argumentativ auf eine bestimmte vorherrschende Meinung eingeht, redet man nichts kaputt. Komm vielleicht mal von deinem Schwarz/Weiß-Weltbild ab.

Mag sein das es auch Dialer gibt die PFW umgehen,aber unter den vielen Tausend die da so im Net rumschwirren sind das mit Sicherheit die wenigsten.

Weil das so schwer zu implementieren ist, glaubst du?

Da du von ZoneAlarm gesprochen hast:

http://web.archive.org/web/20051012083011/http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
http://www.securityfocus.com/archive/1/326371
http://my-forum.netfirms.com/zone/zcode.htm

Die können übrigens in JEDEM Download versteckt sein.

Wo lädst du denn deine Software herunter?

 

[Damocles' Sword]

Wo lädst du denn deine Software herunter?

Ein Dialer ist meist nicht größer als ein paar KB.Es gibt diverse Tools (z.B. StarForce Clean oder den Flashplayer Uninstaller) die nur aus einer .Exe bestehen. Diese kann selbst ein Noob umbennen und z.B. über eMule oder andere P2P Progs sowie z.B. auf seiner eigenen HP zum Download anbieten.

Sorry wenn du dich angegriffen fühlst,aber ich hatte hier schonmal ein Debatte mit frow und fischl,die waren beide recht militant...

 

[Ghaleon]

Ich finde es schon bemerkenswert wie manche hier zwanghaft alle personal firewalls totschreiben wollen.

Wenn ich leute die zu dumm sind um selbst zu denken infizieren wollte, würd ich das gleiche machen.

Denn mal ehrlich, sobald man sich mit dem netz verbindet, und zb im netz surft, ist es egal wieviele ach so unangenehme dienste man deaktiviert hat, das system bietet trotzdem immer noch genügend angriffspunkte, auch wenn man firefox und andere alternativen zum surfen einsetzt.
Zumal M$ es nahezu unmöglich gemacht hat auf alle schädlichen dienste zu verzichten, wenn man mehr im netz machen möchte als zu surfen. Spielen Chatten uvm, all das ist ein sicherheitsrisiko, wogegen man sich durch diese plakative forderung nach abschaltung der dienste weniger schützt als durch den einsatz einer gut konfigurierten sicherheitslösung, zu der unter anderen auch eine firewall gehört. Mag sein das der begriff irreführend ist, aber das sind viele heutzutage.
zumal diese anderen dienste für otto normaluser z.T. unverzichtbar geworden sind, und somit diese form des sicherheitskonzeptes genauso ausgehöhlt, wie eine vom otto normaluser konfigurierte firewall.

Ich will jetzt nicht bestreiten das das deaktivieren der dienste nicht sinnvoll und durchaus der sicherheit förderlich ist, aber das alleine macht ein system nicht sicher, bei weitem nicht.

Solange irgendetwas in windows übrig ist um den datenverkehr aus dem netz anzunehmen, ist eine sicherheitslücke da, was im folgeschluß heißt das man wenn man auf das netz zugreifen kann schon verwundbar geworden ist, auch wenn so ziemlich alles ausgeschaltet wurde was ging.

Das nennt man Windows.

Eine Personal Firewall ist nur so lange nützlich wie sie auch gut konfiguriert ist.
Und nicht das einzige mittel zum systemschutz ist. Http filter, Sandbox, das deaktivieren aller ungenetzten dienste und andere mittel sind trotzdem noch notwendig.
Wirkliche sicherheit gibt es nicht, egal was man tut. Man kann sich annähern und dadurch die spreu vom weizen trennen, aber das wars auch.
Das kann man entweder akzeptieren oder sich gleich aus dem netz verabschieden.
Tut man letzteres hat man seine sicherheit, zumindest solange bis ein freund mal eine cd mitbringt ...

 

[Damocles' Sword]

@Ghaleon :

Herzlich willkommen bei CB !

Zu deinem Post: Recht haste.

 

[Frank Bicking]

Ein Dialer ist meist nicht größer als ein paar KB.Es gibt diverse Tools (z.B. StarForce Clean oder den Flashplayer Uninstaller) die nur aus einer .Exe bestehen. Diese kann selbst ein Noob umbennen und z.B. über eMule oder andere P2P Progs sowie z.B. auf seiner eigenen HP zum Download anbieten.

Und wer nötigt die Anwender, sie aus diesen Quellen herunterzuladen? Bestandteil fast jedes Sicherheitskonzeptes ist es, Software nur von vertrauenswürdigen Quellen herunterzuladen, beispielsweise Computerbase oder die Homepage des Herstellers. Wer ausführbare Dateien aus Tauschbörsen herunterlädt und startet ist selbst schuld. Das wird doch mittlerweile selbst in Fernsehsendungen und normalen Zeitschriften erwähnt.

Denn mal ehrlich, sobald man sich mit dem netz verbindet, und zb im netz surft, ist es egal wieviele ach so unangenehme dienste man deaktiviert hat, das system bietet trotzdem immer noch genügend angriffspunkte, auch wenn man firefox und andere alternativen zum surfen einsetzt.

Welche Punkte sollen das sein? Eine Verbindung kann nur dann aufgenommen werden, wenn ein Port offen ist. Sicherheitskritisch kann diese Verbindung nur sein, wenn die Anwendung, die diesen Port geöffnet hat, konkrete Sicherheitslücken aufweist und diese dem "Angreifer" bekannt sind. Dann ist natürlich auch jeder Internet-Browser eine "Gefahr", aber man möchte ihn ja auch nutzen. In seiner Personal Firewall würde jeder Anwender dem Browser deshalb uneingeschränkten Zugriff erteilen, gegen Sicherheitslücken könnte sie dann nichts tun - also wozu dient sie dann noch? Deine Argumentation mag ja nicht falsch sein, nur aus ihr eine Rechtfertigung für Personal Firewalls zu schlussfolgern ist abenteuerlich.

zu der unter anderen auch eine firewall gehört

... stellst du so einfach in den Raum.

Eine Personal Firewall ist nur so lange nützlich wie sie auch gut konfiguriert ist.

Richtig, was aber vielen Anwendern garnicht erst gelingt und schwerer fällt, als das System so abzusichern.

Über Dienste wurde bereits diskutiert.

 

[Ghaleon]

Wesentlich sinnvoller würde ich es empfinden den leuten vernunft einzubläuen. sprich ihnen sagen das sie die dienste abschalten sollen, ihnen beibringen wie sie ihre firewalls richtig konfigurieren sollen, dann noch das ganze andere trara dazu.
Lust darauf hat natürlich niemand, mich eingeschlossen, das ist einfach zuviel arbeit.

Jedoch das kernproblem bleibt das man den leuten nicht beibringen kann zu denken, sie werden im gefühl falscher sicherheit irgendeine dummheit machen, vom ausführen irgendwelcher programme in emails, bis hin zum antworten auf phishing mails und andere betrügereien.

Es läuft letztenendes immer darauf hinaus welchen kompromiß zwischen sicherheit und usability man eingehen möchte.

Schadensbegrenzung, nichts weiter. Die fraktion der puristen will ich hier auch nicht mehr angreifen als notwendig, aber auf einem windows system purismus als sicherheitskonzept für alle zu propagieren ist schon ein starkes stück.

sicherheit ist ein ständiger kampf, eine evolution welchen man entweder nicht mitmacht, oder zwangsläufig verliert.

Der ansatz eines sauberen kerns finde ich sehr symphatisch, jedoch mit windows ist er nicht praktikabel, es ist nicht open source.

 

[Damocles' Sword]

Und wer nötigt die Anwender, sie aus diesen Quellen herunterzuladen? Bestandteil fast jedes Sicherheitskonzeptes ist es, Software nur von vertrauenswürdigen Quellen herunterzuladen, beispielsweise Computerbase oder die Homepage des Herstellers. Wer ausführbare Dateien aus Tauschbörsen herunterlädt und startet ist selbst schuld. Das wird doch mittlerweile selbst in Fernsehsendungen und normalen Zeitschriften erwähnt.

Richtig, was aber vielen Anwendern garnicht erst gelingt und schwerer fällt, als das System so abzusichern.

Zu 1 : Dieser Vergleich hinkt.

Zu 2 : Das kann man NetNoobs nicht vorwerfen.

 

[MountWalker]

Oh doch, ich achte schon aus beruflicher Gewohnheit sehr genau auf Formulierungen. Es ist mir durchaus klar, dass es keinen Sinn macht, einen Dienst zu deaktivieren, den ich zur Ausführung bestimmter Aktionen zwingend benötige. Meine Frage zielte mehr in die Richtung, ob es Mittel gibt (wenn ja, welche), dieses erhöhte Risiko (wenigstens halbwegs) in den Griff zu bekommen.

Aber du bist nicht bereit zu lesen, was? Schön, ein paar Zeilen weiter oben in dem gleichen beitrag den du mir hier ankreidest habe ich diese Fragfe beantwortet!

Dies kann nur mit Admin- bzw. Systemrechten laufende Malware, die musst du erstmal ins System installiert haben und diese Malware kann dann auch gleichermaßen deine Firewall gezielt so verändern, dass bestimmte Ports geöffnet werden, dies aber in der grafischen Oberfläche der Firerwall nicht angezeigt wird - sie kann natürlich genauso gut einfach nur den Port öffnen ohne die Öffnung zu verschleiern oder einfach die Firewall ganz deaktivieren und eine Neuinstallation oder eine weitere Installation einer Firewall verhindern. (solche Malware könnte ja auch einfach mal einen Neustart mit anschließender Auführung von format c: befehlen oder noch schlimmer das BIOS löschen, wenn der Virusschutz im BIOS nicht explizit aktiviert worden ist - hats alles schon gegeben)

Also bitte, du sast du achtest aus beruflichen Gründen auf Formulieren, dann nehme ich mal an du bist Journalist und als solcehr solltest du es tunlichst vermeiden Information zu überlesen, denn du willst deine Kundschaft ja informieren - oder du arbeitest bei Bild , aber davon gehe ich mal nicht aus.

[...]
Beispiel Google Earth [...]
Wohl gemerkt! Ich rede von Software, der ich an sich durchaus vertraue (was sich jetzt nicht zwangsläufig auf Google Earth bezieht *s*). Mit Firewall würde ich über den für mich zunächst unerwarteten Verbindungsbedarf informiert und hätte dann die Möglichkeit zu entscheiden, ob ich das (damit verbundene Risiko offener Ports) wirklich akzeptieren will oder nicht. Und falls ja, siehe Frage oben: Wie kann ich das System dann trotzdem schützen?

Hilfe eine Software die das Internet nutzt greifft aufs Internet zu! Wenn ich etwa einen P2P-Client ins Netz lasse, kann ich das nur ganz oder garnicht tun, ich kann mit einer Firewall nicht eventuell gekoppelte Adware von den eigentlichen P2P-Verbindungsversuchen trennen.

Noch mal zu Verdeutlichung: Dass es Software gibt, die man besser gar nicht erst installieren sollte, die in der Lage ist, ''mutwillig'' eine Firewall auszutricksen, das steht auf einem anderen Blatt und da stimme ich zu, dass eine Firewall für solche Fälle nichts bringt. Ich sehe in ihr lediglich ein Tool, das mir sagt ''Hey, da will einer ne Tür aufmachen! Iss datt okeh so?''

Wenn du eine Software nicht kennst, dann kann sie grundsätzlich auch dazu in der Lage sein Firewalls oä. zu korrumpieren. Erst Information, dann Installation - Opera hatte bis einschließlich 8.02 Spyware integriert, die zwar abschaltbar war, aber die meisten nutzten sie einfach wegen dem schlankeren Werbebanner, dem Ruf des Opera-Browsers wurde das naber nicht angefügt.

 

[Ghaleon]

Ein http filter zum ausfiltern schädlicher inhalte von webseiten gehört mich zwingend zu einem vernünftigen sicherheitskonzept dazu. zb proxomitron und eine aktuell gehaltene filterliste sollte eigentlich bei jedem sicherheitsbewußten user dabei sein.

Ports kann man deaktivieren, aber man wird zwangsläufig die notwendigkeit finden diese wieder zu öffnen, wenn man spielt, ins irc geht und oder usw, die liste ist endlos, sobald man diese ports offen hat, ist es zumindest etwas mehr nutzen, wenn man etwas dazwischen hat, welches diese ports nur für spezifische applikationen öffnet.
etwas was man aktiv den gegebenheiten anpassen kann.

eine firewall ist auch nur solange sinnvoll wie man sie auch beschützt, den zugriff auf die regelsätze unterbindet und den ram sichert. dieses ist nur unzureichend gegeben, aber trotzdem möglich. und nicht jede malware schaltet eine firewall aus.

 

[Frank Bicking]

Zu 1 : Dieser Vergleich hinkt.

Ich mag keine Vergleiche, erwehre mich z.B. immer gegen Haus- und Autovergleiche, weil sie am Thema vorbeidiskutieren. Welchen Vergleich sprichst du an, und wo hinkt er?

Zu 2 : Das kann man NetNoobs nicht vorwerfen.

Na aber sicher kann man das, genauso wie sie selbst schuld sind, wenn sie angeblich von der Bank stammende Mails mit ihren Zugangsdaten befürworten. Dummheit und Unwissenheit schützen vor Schuld nicht.

 

[Ghaleon]

bzw, nicht jede malware schaltet jede firewall aus.

außerdem sollte man dem normaluser schon verständlich machen das man durch eine firewall nicht bombensicher ist.

ich weiß das das eigentlich unmöglich ist, die idioten sterben nicht aus.

und die leute denen mehr sicherheit zuviel arbeit ist, auch nicht.

 

[MountWalker]

Ein http filter zum ausfiltern schädlicher inhalte von webseiten gehört mich zwingend zu einem vernünftigen sicherheitskonzept dazu. zb proxomitron und eine aktuell gehaltene filterliste sollte eigentlich bei jedem sicherheitsbewußten user dabei sein.

Einfach mal etwas das gut klingt hier in die Diskussion geworfen, aber kannst du auch erklähren, warum es so wichtig ist?

Ports kann man deaktivieren, aber man wird zwangsläufig die notwendigkeit finden diese wieder zu öffnen, wenn man spielt, ins irc geht und oder usw, die liste ist endlos, sobald man diese ports offen hat, ist es zumindest etwas mehr nutzen, wenn man etwas dazwischen hat, welches diese ports nur für spezifische applikationen öffnet.
etwas was man aktiv den gegebenheiten anpassen kann.

Sagmal, reden wir hier gegen eine Wand? Wenn du einen Port brauchst macht es null Sinn diesen Port zu blocken. Der IE-Port ist offen, wenn eine Software gestartet wird die diesen port nutzt, läuft keine Software die diesen Port nutzt ist der Port geschlossen.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Darf jeder gerne lesen.

 

[Frank Bicking]

Ghaleon:

Das mögen alles richtige Allgemeinplätze sein, aber sag mal, hältst du es für prinzipiell unmöglich, ohne Personal Firewall keine Sicherheitsprobleme zu haben? Ich bin nach wie vor der Meinung, keine zu benötigen.

 

[Damocles' Sword]

@ Frank Bicking

Vielleicht hab mich etwas falsch ausgedrückt auf die Schnelle (bin am essen...).
Ich wollte damit nur darlegen dass eine PFW durchaus Sinn macht,da es Dinge gibt wo Portsperre rein gar nix bringt,ne PFW aber schon.

Wenn sich jemand kein Auto mit Airbag leisten kann und ihm frontal jemand mit 100 Sachen reinknallt ist er dann Schuld?Na klar,was fährt der auch ....

 

[Frank Bicking]

Können wir bitte mit ohnehin hinkenden Autovergleichen aufhören? Danke.

Nein, ich werde nicht erklären, warum der hier nun hinkt, weil wir damit von der Sache abkommen würden.

 

[Ghaleon]

Na aber sicher kann man das, genauso wie sie selbst schuld sind, wenn sie angeblich von der Bank stammende Mails mit ihren Zugangsdaten befürworten. Dummheit und Unwissenheit schützen vor Schuld nicht.

Die betrogenen in solchen fällen handeln grob fahrlässig, aber es ist immer noch der initiator welcher die hauptschuld trägt.

Hilfe eine Software die das Internet nutzt greifft aufs Internet zu! Wenn ich etwa einen P2P-Client ins Netz lasse, kann ich das nur ganz oder garnicht tun, ich kann mit einer Firewall nicht eventuell gekoppelte Adware von den eigentlichen P2P-Verbindungsversuchen trennen.

Im falle einer mit adware gebundelten p2p software kann man verbindungen der adware sehr wohl kontrollieren, zumindest solange wie die ports der adware sich von jenen der p2p software unterscheiden und/oder die adware ein seperates programm ist. Und wenn die werbung saugt, kann man entsprechende server auch blockieren.
alles praktikabel mit einer firewall. sinnvoller jedoch soetwas nicht zu nutzen oder die adware gleich loszuwerden.

die gültigkeit einer click-wrap lizenz erkenne ich genausowenig an wie die ersteller meine rechte, insofern ist mir alles recht um mein recht auf privatsphäre durchzusetzen.