So.. ist zwar OT, und manche mögen es bereits kennen, aber:
Firewall… Welche Firewall für Welchen Zweck und Welchen User…
§1: Verwechsel keine Personal „Desktop“ Firewalls und Firewalls.
Eine Personel Firewall (auch Desktop Firewall genannt) ist ein Produkt das man auf dem Rechner installiert.
Eine Firewall ist ein Konzept um ein sicheres Netz vor einem unsicheren Netz zu schützen und es zu trennen.
Ausserdem zu den PF´s:
Eine Pf wird auf dem Client Rechner installiert.
1. Da gibt es keine Netze zu trennen.
2. Jede beliebige Software auf dem Rechner kann die PF verändern.
3. Der User (der evtl. keine Ahung hat) muss die PF konfigurieren.
4. Eine Software die für alle User gleich ist kann kein personalisiertes Konzept umsetzen.
Fangen wir an mit den vermeintlichen Vorteilen von PFs:
1. "Portscans werden verhindert"
2. "Ping (echo response) und andere ICMP werden verhindert"
3. "Ports gehen in den Stealth Modus, man wird ´unsichtbar´"
4. "Fernsteuerung des PC wird verhindert"
5. "Zugriffe von innen nach außen werden verhindert"
6. => "Daraus folgt ein Grundschutz vor Hackern."
Dazu im einzelnen eine technische Bewertung:
1. "Portscans werden verhindert"
Was ist ein Portscan? Ein Portscan ist hier das systematische Abfragen,
ob hinter bestimmten Ports eine Anwendung "sitzt", die dort lauscht und
ggf. antwortet, so daß man mit ihrer Hilfe irgendeinen Einfluß auf den
betr. PC nehmen kann. Es gibt hier pro Port genau zwei Möglichkeiten:
a) Ja, dort lauscht eine Anwendung. Gut! Das wird einen Grund haben.
Z.B. den, daß man diesen Dienst anderen Usern anbieten will, bspw. einen
Web- oder FTP-Server oder die Möglichkeit, ICQ-Nachrichten anzunehmen o.ä.
In diesem Fall WILL man auf diesem Port erreichbar sein. Die
Authentifizierung, d.h., daß nur berechtigte Benutzer diese Anwendung
erreichen können, wird von der Software, die auf diesem Port lauscht,
vorgenommen. Ergo schadet es nichts, wenn dieser Port "offen" ist, ja es ist sogar
erwünscht.
Sollte das NICHT der Fall sein, empfiehlt es sich, die Software zu
entfernen oder umzukonfigurieren. DAS macht einen hier sicher.
b) Nein, hier lauscht keine Anwendung. Dann meldet sich auf diesem Port
niemand und das Thema ist eh erledigt. Wo nix ist, kann nix mißbraucht
werden.
Wo stellt ein Portscan nun noch eine Gefahr da? Ich sehe keine. Aber ich
sehe die Voraussetzung, den betr. Rechner ordentlich einzurichten und
sich mit dem, was man tut, ein wenig zu beschäftigen! Das ist im
Normalfall, für den Standarduser, recht einfach. Wer Dienste wie http oder
ftp anbieten möchte, naja, der sollte sich sowieso damit beschäftigen. Das
ist nix für mal eben nebenbei. Ich darf auch keine Pommesbude aufmachen,
nur weil ich da grad heute mal Bock drauf hab.
2. "Ping (echo response) und andere ICMP werden verhindert"
Ein Ping oder andere ICMP-Pakete stellt i.d.R. keinerlei Gefahr da. Es gab
da mal was, früher, was sich "Ping of Death" nannte, aber das ist lange
her. Ganz im Gegenteil, einen Ping (echo request) zu beantworten ist gut, ich
will das! Schließlich will ich für andere erreichbar sein, z.B. wenn ich
o.g. Dienste anbieten möchte oder im ICQ online bin o.ä. Mitunter kann ein
Dienst ohne den treuen Diener "ICMP" nicht funktionierend benutzt oder
angeboten werden.
Wo ist die Gefahr? Ping ist gut!
3. "Ports gehen in den Stealth Modus, man wird ´unsichtbar´"
Dies hängt unmittelbar mit den vorangegangenen Punkten zusammen. Was ist
gut daran, unsichtbar zu sein? Das will ich doch gar nicht! Ich BIN doch da!
Und ich will doch erreicht werden, von den Antworten des Webservers, auf dem
ich mir Seiten anschauen möchte, von meinen Freunden im ICQ, von anderen
Nutzern im WinMX etc. Natürlich kann ich mich quasi unsichtbar machen - aber
dann kann ich mich auch nicht mehr im Netz bewegen. Kein ICQ, kein Filesharing,
geht alles nicht mehr. Selbst eMail und www wären bei konsequenter Umsetzung
nicht mehr möglich.
Ports, hinter denen eh nichts läuft, muß ich nicht verstecken, welche, hinter
denen etwas lauscht, ebenso wenig.
Was bleibt als Sinn? Ein Wort ("stealth mode"
, dass sich unglaublich cool und
sicher anhört, aber NICHTS aussagt und vor nichts beschützt.
4. "Fernsteuerung des PC wird verhindert"
Zugriffe von außen nach innen werden kontrolliert und verhindert. Hm... Welche
Zugriffe? Zugriffe worauf? Auf meine Windows-Freigaben? Die sind doch eh nicht
auf dem Internet-Interface aktiviert. Worauf dann? Wo nichts ist, kann auch
nichts ferngesteuert werden.
5. "Zugriffe von innen nach außen werden verhindert"
Ja, manche Zugriffe werden durch eine PF verhindert. Z.B. der Real Player, dem
man erlaubt hat, nach Hause zu telefonieren oder anderes. Ups! Der Real Player
benutzt automatisch den Browser, wenn er nicht direkt rauskommt! Und das bekomm
ich dann gar nicht mehr mit! Uuuups! Aber vorher poppte ja ein tolles Warnfenster
auf (bei dem "normalen" Versuch des RP), also muß ich ja sicher sein und bekomme
von dem weiteren gar nichts mit.
Oder der böse Trojaner, der sich bei seinem Nutzer melden will. Ups! "Do you want
Internet Explorer to access the internet?" Klar will ich! Uuuups! Der Trojaner hat
sich "Internet Explorer genannt und ich hab´s nicht mitbekommen!
Oder der Trojaner hat meine PF so umkonfiguriert, daß sie ihn eh durchlässt. Oder
der Trojaner hat die PF durch ein identisch erscheinendes, aber funktionell
verändertes Programm ersetzt.
Das geht nicht, weil Dein Anti-Virus sowas verhindert? Super! Aber das ist dann
kein Verdienst der Firewall.
Zugriffe von innen nach außen werden nicht verhindert.
6. => "Daraus folgt ein Grundschutz vor Hackern."
Nein, daraus folgt ein trügerisches Gefühl von (partieller) Sicherheit. Daraus
ergibt sich meist latente Leichtsinnigkeit, was das Installieren von Software
und das sonstige Verhalten im Netz angeht.
Ein Grundschutz vor "Hackern" (und mehr als nur dieser!) folgt daraus, daß ich
meinen PC ordentlich einrichte. Wenn ich das nicht kann, lerne ich das oder
lasse es jemanden machen, der sich damit auskennt.
Desweiteren gehört dazu, daß ich ein aktuelles Anti-Virus-Produkt besitze
und auch benutze (!!!) und ein bewusstes Arbeitsverhalten an den Tag lege (sich von
obskuren Seiten weitgehend fernhalten, keine Dateien unbekannten Ursprungs
ausführen etc.). DAS macht mich sicher!
Eine PF suggeriert, man müsse sich um all dies keine Gedanken machen. Das stimmt
nicht. Sie fördert leichtsinniges und gedankenloses Verhalten. Das ist schlecht.
Ein bewusster User mit Grundwissen über sein System hat i.d.R. nichts zu befürchten.
Er braucht keine PF.
Sie nützt ihm NICHTS.
Ein leichtsinniger User, der keine Ahnung hat, was er da eigentlich tut, braucht
keine PF. Er kann sie nämlich weder konfigurieren noch die Logfiles lesen. Er
schadet sich trotz der PF.
Sie nützt ihm NICHTS.
7. Gibt es auch etwas, was konkret dagegen spricht, solch ein Produkt zu benutzen?
Ja, gibt es. Gerade unter Windows Betriebssystemen interagiert Software. Damit
meine ich, daß neu installierte Software die bereits vorhandene in ihrer Funktion
beeinträchtigen kann, z.B. durch veränderte Registryeinträge oder Austausch von
Systemdateien. Und dann viel Spaß bei der Fehlersuche. Eine PF stellt hier eine
unnötige zusätzliche Quelle für Fehler dar.
Dann sind da noch die guten alten Bugs - Programmierfehler, die es z.B. erlauben,
einen Rechner von außen zum Absturz zu bringen. So etwas kommt auch in Personal
Firewalls vor, so geschehen vor einiger Zeit bei dem Produkt "Black ICE Defender",
hier konnten Programme auf dem vermeintlich geschützten PC ausgeführt werden.
Nicht trotz, nein, wegen dieser PF!
Aber noch etwas: Ihre Funktion an sich kann schon beeinträchtigen. Z.B., wenn man
nicht weiß, wie man sie zu konfigurieren hat. Irgendwann einmal auf "Nein" geklickt
und... wie bekomm ich den RealPlayer jetzt dazu, diesen Film zu zeigen? Warum kann
ich diese oder jene Website nicht ansehen? Warum funktioniert mein ICQ-Dateitransfer
nicht? Wieso kann ich bei manchen Leuten im WinMX nichts runterladen?
Ein guter Grundsatz für die Sicherung des Systemen unter Windows 2000/XP sind schon mal folgende Links:
Windows 2000:
http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414
Windows XP:
http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823
Ausserdem empfiehlt es sich die Linksammlung mal in aller Ruhe durchzulesen und auch zu verstehen - ich hoffe dass das nicht zu viel verlangt ist.
http://www.fefe.de/pffaq/
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.tu-ilmenau.de/~traenk/dcsm.htm
http://home.arcor.de/nhb/pf-austricksen.html
http://home.arcor.de/nhb/pf-umgehen.txt
http://cert.uni-stuttgart.de/ticker/article.php?mid=888
http://www.securityfocus.com/archive/1/244026
http://www.rz.tu-ilmenau.de/~traenk/zaweg.htm
http://de.geocities.com/pseueq/y3k.htm
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm
http://www.phrack.org/phrack/49/P49-14
http://www.pflock.de/computer/za_faq.htm
http://www.dslreports.com/forum/remark,2169468~root=security,1~mode=flat
http://www.team-cauchy.de/personal
http://www.samspade.org/d/persfire.html
http://www.securitytracker.com/alerts/2002/Aug/1005149.html
http://w3studi.informatik.uni-stuttgart.de/~schrotrf/mpdshfaq/
http://www.theparallax.com/security/firewallecke.html
http://www.bsi.de/gshb/deutsch/m/m2073.htm
http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm
