Unterschied Desktop und Hardwarefirewall Einstellungen

[Mad Max]

Hallo zusammen,

ich will ja mit dem Thema nicht nerven, aber kann mir mal einer den Unterschied zwischen einer Desktop und einer Hardwarefirewall basierend auf einem Linux PC
erklären. ?

Machen wirs mal einfach.

Zum Vergleich Outpost pro und gateprotect. Lassen wir mal die Kosten für solche Firewalls aussen vor.


Ist eine Hardwarefirewall denn wesentlich sicherer ?

Gruss

Mad Max

[wizard]

Ist eine Hardwarefirewall denn wesentlich sicherer ?

Ob eine Firewall "gut" oder "schlecht" kommt letzendlich nur auf das Können desjenigen an, der sie konfiguriert.

wizard

[Gast_SHAKAL_*]

Im Grunde hat Wizard schon etwas sehr wesentliches dazu gesagt.
Der Mensch ansich ist die größte Schwachstelle und wenn ich mir einen Dau am Debian oder an BSD vorstelle, dann hat der sicher auch Probleme das Ding halbwegs abzusichern.
Wie also dann eine Firewall?

Fakt ist jedoch, dass eine Boxed Lösung immer der Vorteil bietet, dass es ein eigens nur für die Firewall mitgebrachtes OS hat.
In den meisten Fällen handelt es sich hierbei jedoch um Linix oder Derivate.
Ein eigener Kernel ist dann da der größte Vorteil der mitgebracht wird und eben die enorme Performance auf Hardwareebene und auf Ebene der Protokolle, da nichts weiter läuft.
Ist eine Firewall Hardware vor einem System oder Netzwerk, so kann dort ein Fluß an Daten abgeschottet werden wenn ein Angriff bevorsteht.
Ein IDS kann da nützliche Zusätze leisten.
Bei einer mehrstufigen Firewall besteht der Gegenschutz natürlich, da (wie bereits besprochen) Firewalls exploitfähig sind und somit getunnelt werden können.

Jedoch ist ein Einbruch in ein Netzwerk dann schon fast nicht mehr möglich, es wird sehr schwer.

So sehe ich die wesentlichen Vorteile.

[Gast_Nautilus_*]

War hatten das Thema ja schon einmal. Leider kam damals vor allem "Fachchinesisch" heraus, so dass es ein normaler Anwender gar nicht mehr verstehen konnte. Lasst es uns doch noch einmal versuchen, die Sache möglichst einfach und transparent zu erklären.

Ich versuche mal, einen Anfang zu machen (auf die Gefahr hin, dass ich etwas Falsches sage und deshalb korrigiert werden muss):

1.
In der Regel haben Hardwarefirewalls Vor- und Nachteile, da sie kein sog. "Application Filtering" unterstützen, sondern als eine blosse Portfirewall funktionieren, die auf einem separaten Minirechner (Box) läuft.

Gemeint ist Folgendes: Da sich die Hardwarefirewall nicht auf dem Produktivrechner, sondern ausserhalb dieses Rechners befindet, weiss sie grds. nicht, welche Anwendung auf dem Produktivrechner Daten versendet oder in Empfang nimmt. Sie kontrolliert nur, ob bestimmte Ports offen oder geschlossen sind.

2.
Im folgenden Fall hat eine Portfirewall z.B. Nachteile:

Wenn ein Rechner in einem Unternehmensnetzwerk an das Internet angebunden ist und sich einen Trojaner "eingefängt", kann dieser normalerweise ungehindert nach aussen ins Internet Daten versenden, da ja nicht kontrolliert wird, welche Anwendung auf dem Rechner die Daten versendet.

3.
Im Ergebnis sind, Application- und Portfirewalls somit ziemlich verschieden:

Hardwarefirewalls in Form von Portfirewalls sind eher für ans Internet angebundene Unternehmensnetzwerke gedacht und schützen vor allem vor Angriffen von aussen (= Internet) nach innen (= Unternehmensnetzwerk). Sie schirmen gewisse im Netzwerk vorhandene Dienste (z.B. einen FTP Server, der nur für im Unternehmensnetzwerk befindliche Rechner zugänglich sein soll) vor Zugriffen aus dem Internet ab. Da Unternehmensnetzwerke ständig erreichbar sein müssen, ist es wichtig, dass die Hardwarefirewall möglichst stabil ist und "unter massivem Beschuss" (Flooding, DDOS, etc.) nicht abstürzt, zusammenverbricht etc, denn sonst ist das Unternehmen vom Internet abgeschnitten.

Desktopfirewalls (Personal Firewalls) mit Application Filtering eigenen sich für den Homeuser und schützen vor Angriffen von innen UND von aussen. In beiden Fällen ist der Schutz aber nicht perfekt. Bei Angriffen von aussen leiden Desktopfirewalls unter ihrer geringeren Stabilität. Flooding Attacken verlangsamen/stören nicht nur den Firewall-Rechner, sondern auch den eigentlichen Produktivrechner. Was die Angriffe von innen angeht: Letzlich lassen sich auch Applicationfirewalls tunneln. Es ist aber schwieriger und lässt sich durch eine zusätzliche System Firewall wie System Safety Monitor nochmals erschweren.

Der Beitrag wurde von Nautilus bearbeitet: 15.02.2004, 07:26

[Gast_Optimist_*]

@ Nautilus

Endlich mal eine objektive und sachliche Bewertung von Firewalls. Danke!

Gruß
Bernd

[Gast_Rudi Carrera_*]

Ich geb auch mal meinen Senf dazu ( bitte auch um Korrektur, wenn ich Bockmist schreibe )
Eine Hardwarefirewall ist als autarkes System immer unanfälliger, als eine PFW, die sich auf dem zu kompromitierenden System befindet.

Eine Personalfirewall macht nur Sinn, wenn der davor befindliche User, informiert ist über die Gefahren im Netz und entsprechend handelt. Er hat auf seinem Rechner einen guten AV-Scanner und eine gute PFW. Er ist mit einer dynamischen IP unterwegs und ist somit für richtige Angriffe völlig uninteressant.
Die Kombination aus Wissen, AV-Scanner mit guter Trojanererkennung und einer gepflegten PFW ergeben für den Normaluser einen ausreichenden Schutz.

Gibt es hier eigentlich jemanden, dem als Privatuser mal ne Firewall abgeschossen wurde?? Nächste Frage wäre dann natürlich, wie das Verhältnis aussieht, zwischen den Nutzern einer PFW und denen, die durch Kompromitierung die PFW lahmgelegt wurde.

Gegen viele Ansichten halte ich es für durchaus legitim, eine PFW zu nutzen. Die Kombination aus einem Hardwarrouter und AV, sowie PFW auf den Clients erachte ich als recht sinnvoll. Jede Software trägt einen Teil zum Absichern des Netzverkehrs bei. Was der Paketfilter auf dem Routern nicht erkennen kann, erkennt der AV-Scanner oder die PFW.
Für den Privatuser ein ausreichendes Schutzkonzept, wenn er weiss, was dort passiert!
Rudi

Der Beitrag wurde von Rudi Carrera bearbeitet: 09.10.2004, 07:11

[Gast_Nautilus_*]

"Gibt es hier eigentlich jemanden, dem als Privatuser mal ne Firewall abgeschossen wurde?? Nächste Frage wäre dann natürlich, wie das Verhältnis aussieht, zwischen den Nutzern einer PFW und denen, die durch Kompromitierung die PFW lahmgelegt wurde."

Vermutlich nein. Aber viele Personal Firewalls kommen mit sehr starker Last (Filesharing, > 500 offene Ports, durchschnittlich mehr als 50kbps traffic) nicht gut zurecht. Und das testet fast niemand. (Auch nicht den enormen Speicherverbrauch, der dann auftritt.)

Der Beitrag wurde von Nautilus bearbeitet: 15.02.2004, 11:32

[Gast_SHAKAL_*]

Gemeint ist Folgendes: Da sich die Hardwarefirewall nicht auf dem Produktivrechner, sondern ausserhalb dieses Rechners befindet, weiss sie grds. nicht, welche Anwendung auf dem Produktivrechner Daten versendet oder in Empfang nimmt. Sie kontrolliert nur, ob bestimmte Ports offen oder geschlossen sind.

Tagchen, das hätte ich gerne mal erklärt.
Ich habe da gerade einen Denkfehler, aber einen sehr großen.
Wenn ich beispielsweise eine Firewall habe, nehmen wir mal die Checkpoint FW One: Also die kann sicher nicht jeden lokalen Rechner checken, was auch nicht notwendig ist.
Nur, wenn Packets nach draußen gehen werden diese zu 100% Realtime gecheckt nach Rules die entsprechende Sequenzen auf TCP/ICMP/IGMP/ etc. prüfen.
Trojanische Pferde nutzen zwar den lediglichen Transfer auf einem Port, aber eine FW prüft eben jegliche Pakete und wenn diese nicht authorisiert sind geht auch nix.
Also wie soll das mit einem Trojaner gehen?

[Gast_Nautilus_*]

@Shakal

Ja. Lass uns das mal näher diskutieren. (Der Denkfehler kann nämlich genauso gut auf meiner Seite liegen.)

Kannst Du mir sagen, wie das "Nur, wenn Packets nach draußen gehen werden diese zu 100% Realtime gecheckt nach Rules die entsprechende Sequenzen auf TCP/ICMP/IGMP/ etc. prüfen." bei der Checkpoint genau funktioniert? Wie wird da der Trojaner erkannt?

Ist das die Funktionsweise der Checkpoint? ( http://www.checkpoint.com/appint/appint_defense.html )

Der Beitrag wurde von Nautilus bearbeitet: 15.02.2004, 11:44

[Gast_SHAKAL_*]

Grüß Dich, genauso sieht es aus.... die Prüfung jeglicher Pakete, auch wenn diese eben korupt (korrupt?) sind.
Nach dem Prinzip, wenn ein Paket keine Anforderung hat, keine Sequenz (ACK, SYN, PUSH) erfolgte, dann kann das Paket verworfen werden.

[Gast_Nautilus_*]

Das würde bedeuten, dass eine unangeforderte INCOMING Connection (eingehende Verbindung, Beispiel: Trojaner Optix Pro lauscht auf Port 1234, Hacker versucht zu verbinden) durch die Hardwarefirewall verworfen wird? Korrekt?

Wie sieht es aber mit einer angeforderten Antwort auf eine OUTGOING Connection über local port 1024-5000 an remote port 80 aus (Beispiel: Reverse Trojaner sendet Daten ins Internet und nimmt Antwort entgegen. Bei einem Keylogger wäre nicht mal eine Antwort erforderlich.)? Wie versucht die Hardwarefirewall dies zu erkennen? Wie schafft sie es zu unterscheiden, ob da der Internet Explorer nur eine Webseite (remote port 80) anschauen will oder eine andere Anwendung ganz andere Daten sendet? IMHO kann man hier die Pakete zunächst mal nach verdächtigen Inhalten filtern ("victim is online" usw.), was aber nicht viel bringt. Dann kann man schauen, ob das HTTP Protokoll verwendet wird usw.

Meinst Du, dass solche Techniken verlässlich sind, Marko?

Gruss, ntl

Der Beitrag wurde von Nautilus bearbeitet: 15.02.2004, 12:40

[Gast_SHAKAL_*]

Ja genau so ist es, ich halte diese Filter für ziemlich verlässlich muss ich sagen.
In natura sieht es dann halt so aus, dass eine Anforderung von innen selbst auf remote 80 analysiert wird.
Nebst einem Paket kann ja durch contentfiltering innerhalb des pakets gecheckt werden, was dort übertragen wird.
(Anbei bemerkt ist das Datenschutzrechtlich nicht unbedenklich).

[Gast_Nautilus_*]

Vielleicht noch folgende Ergänzungen:

1.
Mit dem Filtern wird es beispielsweise schwierig, wenn ein Keylogger oder ein Dokumentenspion sich wie ein Emailclient verhält und einfach die ausspionierten Daten einmal pro Tag als Mail nach draussen versendet.

2.
Die fortschrittlichen Analysetechniken (verschiedene Filtermethoden usw.) sind meines Wissens bislang erst bei grossen Unternehmenslösungen vorhanden. Und das man Unternehmen nicht ganz so einfach hacken kann, ist ja auch gut so.

Wenn dagegen ein "Normaluser" oder ein Kleinunternehmer zu einer Hardwarefirewall greift, wird er sich womöglich fuer einen preiswerten Netgear Router o.ä. entscheiden (z.B.: http://www.netgear.com/products/details/FVS328.php?view= oder gar nur http://www.netgear.com/products/details/MR814.php?view= ). Ich habe Zweifel, ob so ein Produkt besonders viel Sicherheit in Bezug auf die Filterung ausgehender Pakete bietet.

Aber letztlich müsste man das mal testen ;-)

Der Beitrag wurde von Nautilus bearbeitet: 15.02.2004, 13:10

[Gast_SHAKAL_*]

Die fortschrittlichen Analysetechniken (verschiedene Filtermethoden usw.) sind meines Wissens bislang erst bei grossen Unternehmenslösungen vorhanden. Und das man Unternehmen nicht ganz so einfach hacken kann, ist ja auch gut so.

Hi Nautilus & @ll.

Ich bin eigentlich von nichts anderem ausgegangen, wir sprachen hier von echten Firewalls war ich der Meinung ;-)
In wie fern es die neue GateLock kann weis ich noch nicht, bekomme aber die Tage ein erstes Beta Gerät zugesand und werde es mal anschauen.

[wizard]

2.
Im folgenden Fall hat eine Portfirewall z.B. Nachteile:

Wenn ein Rechner in einem Unternehmensnetzwerk an das Internet angebunden ist und sich einen Trojaner "eingefängt", kann dieser normalerweise ungehindert nach aussen ins Internet Daten versenden, da ja nicht kontrolliert wird, welche Anwendung auf dem Rechner die Daten versendet.

Wenn Du eine Portfirewall isoliert betrachtest, stimmt Dein Beispiel. Nur ist so eine Portfirewall immer nur Teil eines Schutzkonzeptes. Um bei Deinem Beispiel zu bleiben: Dies würde in dem Unternehmen in dem ich arbeite so nicht funktionieren, da kein User Admin-Rechte hat, was die Installation von Trojanern wesentlich erschwert und zum zweiten können Applikationen nur über eine Proxy-Sever aufs Netz zugreifen. Jeder Zugriff muss vorher durch Eingabe eines Usernamens und Passwortes bestätigt werden.

In so einer Umgebung dürften IMHO die Mehrheit aller Backdoor-Trojaner kläglich versagen.

Desktopfirewalls (Personal Firewalls) mit Application Filtering eigenen sich für den Homeuser und schützen vor Angriffen von innen UND von aussen.

Das ist falsch, da eine Personal Firewall das Ausführen von schädlichem Code nicht unterbindet.

Was die Angriffe von innen angeht: Letzlich lassen sich auch Applicationfirewalls tunneln.

Letztendlich lässt sich jede Firewall tunneln.

Es ist aber schwieriger und lässt sich durch eine zusätzliche System Firewall wie System Safety Monitor nochmals erschweren.

Und noch "sicherer" wird man, wenn man sich dann noch einfach ein Tool installiert, dass den SSM schützt.

Die Wahrheit ist relativ einfach: Für die meisten Homeuser, die nur mit einem PC ins Netz gehen reichen folgende Maßnahmen vollkommen aus: Nicht benötigte Dienste abstellen und grundsätzlich nur als Benutzer mit eingeschränkten Rechten ins Netz gehen.

wizard

[wizard]

Eine Personalfirewall macht nur Sinn, wenn der davor befindliche User, informiert ist über die Gefahren im Netz und entsprechend handelt.

Vielleicht formuliert man das besser so: Eine Firewall macht nur dann Sinn, wenn man eine braucht. Man spannst Dir ja auch keinen Regenschirm auf, wenn es nicht regnet.

Bevor man sich überhaupt dem Thema "Firewall" zuwenden sollte, sollte man erst einmal seine Hausaufgaben machen: Sprich lernen, wie man mit Konfiguration, Benutzerrechten, regelmäßigen Updates und Verzicht auf "extrem unsichere" Applikationen seinen Rechner sichert. Das sind elementare Punkte und die kann auch keine noch so tolle Personal Firewall ersetzen!

wizard

[Gast_Nautilus_*]

@Wizard

Irgendwie habe ich das Gefühl, dass Du gegenüber PFWs besonders kritisch bist. Diese sind halt auch nur in Verbindung mit einem stimmigen Sicherheitskonzept sinnvoll.

Aber genau dasselbe trifft doch auch auf Virenscanner, Hardwarefirewalls usw. zu. Isoliert bringt kein Sicherheitstool etwas.

[Gast_Rudi Carrera_*]

Nochmal zur Hardwarefirewall:
Wenn ich im Filter den Port 80 outbound freigebe, dann ist doch dem Filter egal, wer über Port 80 rausgeht,. ob nun der IE, oder ne AV-Soft, die sich aktualisieren will.
Das könnte doch nur ein Applikationsfilter überwachen? Oder seh ich das falsch?
Rudi

PS: Es gibt auch Menschen, die unsichere Mails öffnen müssen!

[Gast_Nautilus_*]

@Rudi

Jein. Die Hardwarefirewall kann den Inhalt der versendeten Daten "scannen" und auf diese Weise versuchen festzustellen, ob es sich um legitimen oder verdächtigen Traffic handelt. Darum geht es bei der obigen Diskussion zwischen Shakal und mir.

[Gast_Rudi Carrera_*]

Sollte sich ein Trojaner aber als Plugin für den IE tarnen, so wird es der Paketfilter nicht sehen, oder???
Dann müsste er ja auf Applikationsebene filtern, das kann er aber doch nicht.
Rudi, interessiert