Sinn von Personal Firewalls? Einstellungen

[Gast_Bo Derek_*]

So, es ist mal wieder Zeit für einen Thread zu Personal Firewalls á la Zonealarm, Tiny und Konsorten.

Gegner argumentieren ja vor allem mit zwei Beispielen:

1. Ein gut konfiguriertes System benötigt keine Firewall

Man soll alle unnötigen Dienste beenden und Anleitungen wie von www.kssysteme.de folgen. Die Logik, wo keine Türen sind, kommt auch keiner rein.

2. Firewalls können selbst Ziel eines Angriffs sein bzw. Schwachstellen erst schaffen

Hier hat mich zuletzt das Beispiel von wizard überzeugt. Kerios Schwachstelle erlaubt dem Angreifer per DDOS Attacke erst, ein System komplett in die Knie zu zwingen.

Befürworter haben meist diese Gegenargumente:

1. Auch auf gut konfigurierten Systemen müssen Anwendungen, Dienste und Protokolle laufen und diese können eben auch Schachstellen beinhalten

Das beste Beispiel ist hier wohl das jüngst aufgetauchte DCOM/RPC Problem. Man kann natürlich die Patches einspielen, doch ein beendetes RPC hilft denen nicht weiter, die ja eigentlich Komponenten des RPC nutzen wollen. Das "Wegkonfigurieren" des Problems hilft hier also nicht weiter, aber durchaus eine Firewall.

a) RPC wird in der Firewall nur für DCOM auf einem Server mit IP xy in den Rules der Firewall freigeschalten.
b) Closed box Technik: der Dienst ist vorhanden, wird aber nur bei Bedarf freigeschalten. Auch hier helfen regelbasierte Firewalls, denn bei diesen kann man durch Checkboxes ganz bequem Regeln aktivieren und deaktivieren.

2. Jede Software ist ein potentielles Risiko

Der Einsatz einer Firewall setzt natürlich voraus, dass man sich mit der Technik auseinandersetzt und die aktiven Diskussionen verfolgt. Damit meine ich jetzt keinen Computerkurs, sondern die Tatsache, dass man als Softwareuser (jaaa, auch Linux) ab und an Patches einspielen muss. Warum also nicht auch bei einer Firewall?

Natürlich gibt es noch mehr Argumente. Ich will diesen Beitrag nur möglichst einfach und übersichtlich halten, damit jeder mitkommt.

Also was meint ihr? Kann man Personal Firewalls nun die Existenzberechtigung absprechen oder nicht?

[Gast_Nautilus_*]

1.
Das ist jetzt bestimmt der versprochene Thread zum Flamen und Abreagieren!?

2.
Man braucht eine Firewall schon deshalb, um seine vielen raubkopierten AV Scanner am Phonehome zu hindern.

3.
Gibt es bei Rokop überhaupt welche, die KEINE Firewall-Gegener sind?

4.
Im Moment scheint es mir wesentlich leichter, alle AV/AT Scanner (auch ohne Rootkits) auszutricksen, als eine vernünftig konfigurierte Personal Firewall in Verbindung mit einer Systemfirewall wie System Safety Monitor zu umgehen.

ntl ;-)

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 21:47

[JoJo]

Auf dieses Thema hier habe ich insgeheim schon lange gewartet, da es hier ja Personen gibt die gegen solche Softwarelösungen sind und ich mal vielleicht endlich tiefere Einblicke bekomme warum nun Desktopfirewalls sei es nun wie man oft hört wie die von Zonelabs halt Müll sein soll. Wie wäre es mit Test..jetzt aber net diese auf rein Punktevergabe asugelegten Leaktests.
Ich benutze die Firewall wohl vielleicht als phonehome Melder und mich einigermassen zu schützen (Vor was ?..keine Ahnung..dann ist se halt eine Art Placebo )

Man soll alle unnötigen Dienste beenden und Anleitungen wie von www.kssysteme.de folgen. Die Logik, wo keine Türen sind, kommt auch keiner rein.

uind was ist schon mit der von mir angesprochenen Homephone vor bekannterweise für einen Windowsdienst reserviert sind und darüber mal eben meine BLutgruppe mitsammt Stuhlprobe zu meinem Bächer schicken. Oder nützt hier etwa die Dienstabschaltung wirklich was ? Würde das gerne wissen.

2. Firewalls können selbst Ziel eines Angriffs sein bzw. Schwachstellen erst schaffen

ja und dass sollte man nicht anhand einer vielleicht alten Verwundbarkeit verdeutlichen..ich würde auch dies gerne wissen, wie man halt firewalls von aussen her apschiessen bzw. umgehen kann..halt etwas mehr ins detail gehen damit der User auch mal wirklich aufgeklärt wir und nicht auf solche immer wiederholenden Sätze glauben muss. EInfach nur zeigen sie sind schlecht und es erklären.

Und wie wäre es wenn man jemanden ran setzt der sich mit Desktopfirewalls auskennt und einen Thread extra startet in dem er oder sie ein recht gutes und sicheres Regelnwerk für eine Desktopfirewall erstellt..Mitglieder könnten dann konstruktive Kritik dazu äußern und vielleicht sogar Tips geben. Mal was anderes als "mauahah DFW sind doof...warum ? baahh sag ich net"

[wizard]

Generell gilt als "ultimativer Hackerschutz": Wo kein Netzwerkdienst läuft kann auch nichts angegriffen werden (vereinfacht ausgedrückt). Problematisch wird es, wenn dennoch ein Netzwerkdienst (im lokalen Netzwerk) benötigt wird.

Eine generelle Grundregel bei der Konzeption von Firewalls ist, dass die Firewall eben nicht auf dem zu schützenden Rechner(n) laufen soll, sondern davor. Für Heimanwender ist es am einfachsten dies entweder mit Hilfe eines alten Rechners zu bewerkstelligen. Eine Netzwerkkarte kostet unter 10 Euro und Linux-Router System gibt es zu Hauf kostenlos im Netz. Wem das zu kompliziert ist, der kann sich ja immer noch einen DSL-Router kaufen. Die Dinger sind zwar auch kein "Allheilmittel", aber für Heimanwender IMHO vollkommen ausreichend.

Problematisch wird es leider, wenn man sich das von BO angesprochene Beispiel mit dem DCOM Problem ansieht. Die einfachste Lösung hier ist es den in Win2k & XP integrierten Paketfilter zu benutzen. Dies ist z. B. hier beschrieben: http://cert.uni-stuttgart.de/os/ms/ipsec-p...paketfilter.php

Der Vorteil hier ist, dass der Paketfilter auf Betriebssystemebene läuft und man kein zusätzliches (eventuell unsicheres und fehlerbehaftetes) Programm installieren muss, dass weitere Systemresourcen knabbert.

wizard

[Gast_Bo Derek_*]

Zu 1.: Nein, das meine ich sogar ernst!

Zu 2.: Phonehome ist ein Argument. Gegner könnten sagen, sowas ziehe man sich eh nicht. Befürworter würden wohl entgegnen, dass man das nicht von allen Programmen wissen kann, ob sich nachhause telefonieren oder nicht.

Zu 3.: Ja, mich zum Beispiel und Roman hat glaube ich auch nichts spezielles gegen Firewalls.

Zu 4.: Mag sein. Das rechtfertigt aber den Nutzen der Software noch nicht. Der Selbstschutz der Software kann von mir nur als tautologisch agierende Software gewertet werden, wenn keine über die Software hinausgehenden Funktionen sinnstiftend sind.

Und was ist mit meinen Punkten?

Versucht mal mit konkreten Beispielen zu argumentieren! Für welche Zwecke benötigt man eine Firewall? Oben habe ich ja schon ein Beispiel gegeben. Was ist gegen die Verwendungszwecke einzuwenden?

[wizard]

Im Moment scheint es mir wesentlich leichter, alle AV/AT Scanner (auch ohne Rootkits) auszutricksen, als eine vernünftig konfigurierte Personal Firewall in Verbindung mit einer Systemfirewall wie System Safety Monitor zu umgehen.

Mal sehen:

Ich nenne trojaner.exe in onlineupdate.exe um und schon ist die Firewall umgangen. Die AV Software nicht. Denn wie war noch gleich die Definition eines Trojaners? Genau: Ein Trojaner ist ein Programm, das etwas anderes vorgibt als es in Wirklichkeit tut.

Und wer sich SSM installiert, dem fehlen echt die guten alten Win95 Zeiten, wo das System absolut instabil war und Blue Screens an der Tagesordnung...

wizard

[wizard]

Zu 2.: Phonehome ist ein Argument.

Der einzig wirksame Schutz gegen "Phonehome" ist den Netzstecker zu ziehen. Wenn ich der Software, die ich installiere nicht vertraue, dann installier ich sie auch nicht. Oder ich installier sie auf einem Rechner, der nicht ständig online ist oder ich benutze diese Programme nur, wenn der Rechner offline ist, usw. Für sowas braucht man nun wirklich keine Firewall...

wizard

[JoJo]

Nun was zum Beispiel ein Argument welches gegen die meisten kostenlosen DFW (Desktopfirewalls) sprechen würde wäre das mittlerweile recht viele Trojaner auch das feature des FWB (firewallbypass) beinhalten. Und bei einem einfachen umbenenen der exe Datei wird wohl der Checksum Check dann meckern..na ja jedenfalls wär es wohl bei meiner so. Und eher sehe ich das Problem bei den AV Programmen, aber das wäre ein anderes Thema.

[Gast_Nautilus_*]

@Bo

In unserem Artikel über DLL Trojaner ( http://www.scheinsicherheit.netfirms.com/dll.htm ) habe ich ein wenig erklärt, wie man sich mit einer Firewall i.V.m. mit einer Systemfirewall vor solchen Trojanern schützen kann.

Wizard hat Recht, dass eine FW einem nicht sagt, ob ein Programm ein Trojaner ist oder nicht.

ABER: Herkömmliche DLL Trojaner benutzen noch immer die Technik der dynamischen DLL Injektion. Und dann schlägt die Systemfirewall Alarm. Sehr kritisch wird es allerdings dann, wenn eine Software, die Internetzugriff haben soll, so gepatched ist, dass gleichzeitig eine Trojaner-DLL mitgeladen wird. Dafür genügt ein blosses LoadLibrary, was völlig unverdächtig ist.

Andererseits werden solche Patches dann oft durch die Heuristik eines AV Scanners erkannt. Z.B. ist Dr. Web hier ganz gut. Ausserdem kommen im Grunde nur ganz wenige Anwendungen als Wirte für solche Patches in Betracht. Bsp: Patche ich eine Webcam-Application, so dass sie beim Start einen DLL Trojaner wie ColdFusion mitlädt, bringt mich das noch nicht viel weiter, wenn die Firewall port-genau konfiguriert ist. Denn der DLL Trojaner braucht normalerweise einen eigenen Port. Wirklich funktionieren tut die ganze Sache also nur, wenn man Anwendungen wie emule/edonkey/kazaa patched, die eine sehr breite Portfreigabe erfordern. Bereits existierende Anwendungen wie den Internet Explorer kann man schlecht patchen (Systemdateischutz, MD5 Check der Firewall). Wie aber bringe ich ein potentielles Vic dazu, sich eine der o.g. Anwendungen gerade aus meiner unvertrauenswürdigen Quelle zu saugen? Das Leben eines VXers ist also gar nicht so einfach, wenn das Victim auf Zack ist.

@Wizard Du hast Recht, dass Systemfirewalls oft sehr schlecht laufen. SSM funktioniert bei mir allerdings absolut problemlos. Und ich habe nun wirklich kein jungfräuliches OS mehr. Dafür macht bei mir die TinyFireWall 3/4/5 nichts als Probleme. Ich kann sie im Grunde nur unter VMWare laufen lassen.

Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 22:25

[Gast_Bo Derek_*]

Ich nenne trojaner.exe in onlineupdate.exe um und schon ist die Firewall umgangen.

Selbst Tiny hat vor Jahren schon MD5 Hashwerte zur Identifikation von Dateien benutzt.

Der einzig wirksame Schutz gegen "Phonehome" ist den Netzstecker zu ziehen

Das ist nun wirklich kein Argument. Fakt ist, Firewalls können verhindern, dass Programme Verbindung mit dem Inet aufnehmen. Nicht jeder Real Player ist ein Firewall Killer

Dass dieser Schutz nicht 100%ig ist, wirst Du mit Deinem "wirksam" sicher nicht gemeint haben. Absolute Sicherheit KANN nicht zur Debatte stehen.

Wenn ich der Software, die ich installiere nicht vertraue, dann installier ich sie auch nicht.

Schon wahr, doch Vertrauen entsteht nicht durch effektive Werbung, sondern Erfahrung. In dieser Zeit des Erfahrung sammelns kann eine Firewall als Prävention genutzt werden.

Oder ich installier sie auf einem Rechner, der nicht ständig online ist

Ich hab hier kein Hardwarelager.

[Gast_Nautilus_*]

Sehr schön sind übrigens auch noch die aus dem Protecus Board ( http://board.protecus.de/showtopic.php?thr...did=5894#129822 ) stammenden Links:

"
http://www.ce-infosys.com.sg/CeiNews_FreeC...ompuSec_Ger.asp

Ich wollte also das Programm direkt von von dieser Adresse herunterladen:

ftp://203.81.46.131/CompuSec_Deutsch.zip

Das scheint doch ein ganz normaler FTP-Download zu sein?"

Tatsächlich "schiesst" dieser Download (wohl unabsichtlich!!) jede Menge Firewalls einfach ab...

Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 22:30

[wizard]

Als ein Beispiel, dass ich regelmäßig in solchen Diskussionen bringe ist der Wurm/Virus I-Worm.Magstr. Dieser war vor zwei (oder drei?) Jahren ITW - also keine theoretische Gefahr. Dieser Virus benutzt keine *.dll Injektion, sondern injeziert sich direkt in den Prozess einer Applikation. Z. B. explorer.exe. Die Datei wird allerdings nicht verändert und somit springt auch der MD5-Scan der Personal Firewall nicht an.

Das ist nur ein Beispiel, wie man eine Personal Firewall umgehen kann und es gibt unzählige mehr. IMHO ist das Konzept einer Personal Firewall zum Schutz/Kontrolle vor "ausgehenden Verbindungen" immer zum Scheitern verurteilt.

wizard

[Catweazle]

OFFTOPIC ON ~Wollt ihr jetzt Werbung, oder das Gegenteil betreiben von diesen!~ OFTOPIC OF

Nu mal erlich ich halte nichts davon, von Firewalls.

Weil ich nicht weiß wie ich sie zu konfigurieren zu habe usw, Internet aufbau (FTP, HTTP, usw), ich habe schon mal eine versucht die Tiny Personal FW, war nicht zu frieden. Es mag zwar sein das ne GROße Firma das anschaffen tut , mit mehr als 30 Rechner im Netzwerk usw. Ich bin der Meinung eine PFW auf einen Desktop, oder anders gesprochen barucht man nicht, da reicht ein gutes AV Programm aus

PS: Oder man ist dan halt Paranoid

Catweazle

[Gast_Bo Derek_*]

Okay. Es gibt also Wege, eine Firewall zu umgehen. Her sind wir aber wieder bei der Diskussion, ob eine Firewall "wirklichen", im Sinne von 100%igen, Schutz bieten kann. Mir ging es aber eher um die Daseinsberechtigung der Programmkategorie. Wo es einen Magstr gibt, ist auch ein Blaster und bei letzterem hätte eine Firewall helfen können. Ist ein Mittel nicht akzeptabel, wenn es <100% an Leistung liefert?

[Gast_Nautilus_*]

@Wizard Weisst Du, wie sich Magstr in einen anderen Prozess injiziert? Eigentlich muesste das eine gute Systemfirewall erkennen. Allerdings stimmt es, dass hierfür nicht nur der Befehl CreateRemoteThread benutzt werden kann.

Evt. kannst Du ihn mir mal zum Test schicken, Wizard? (Nur falls Du ihn hast, natürlich.)

EDITED: Hat sich erledigt.

"It infects .EXE and .SCR files on local and remote drives if the virus has a write access. If it finds a suitable file for infection it puts a polymorphic code stub at the entry point of the infected file. It puts several anti-debugging tricks in this stub to avoid detection. This stub can be 512 bytes in size. It puts a crypted copy of itself in the last section and that is decrypted with a polymorphic decryption loop that is attached to it. Then it calculates a new valid checksum for that file and puts it in the checksum field in the PE header. "

Offenbar funktioniert Magistr als echter Filevirus. Das ist dann dasselbe wie Patchen bzw. statische DLL Injektion. Allerdings wird eine Firewall Magistr immer dann entdecken, wenn ein Programm infiziert wird, für welches keine FW-Regel existiert. Magistr muesste also ziemlich schlau sein, wenn er nur "richtige" Anwendungen infiziert und dann noch die Verbindung auf dem richtigen Port aufbaut, so dass alles unverdächtig wirkt.

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 22:45

[Catweazle]

???

Catweazle

[Rokop]

Zuerst mal vorneweg : Ich bin kein Firewallgegener. Ich bin schon immer der Meinung das eine PFW eine Daseinsberechtigung hat wenn:

- man weis wovor sie schützen kann und wovor nicht
- man weis wie man sie konfiguriert
- man die Arbeitsweise versteht

Im Moment habe ich keine installiert weil:

- ich zu faul dazu bin
- ich mein System und meine Programme gut kenne
- ich nichts zu verbergen habe

Auf meinem Testrechner habe ich Outpost free installiert weil:

- ich sehen möchte was unbekannte, von mir gestartete Programme so machen
- ich hin und wieder einen Backdoor auf FWB damit teste

Ich denke diese Argumente kann jeder verstehen.

[wizard]

Selbst Tiny hat vor Jahren schon MD5 Hashwerte zur Identifikation von Dateien benutzt.

Darauf wollte ich nicht hinaus. Es ging darum, dass schon einge geschickte Nameswahl ausreicht einen Trojaner durch eine Personal Firewall zu schleusen.

Fakt ist, Firewalls können verhindern, dass Programme Verbindung mit dem Inet aufnehmen. Nicht jeder Real Player ist ein Firewall Killer

Nochmal: Entweder ich "vertraue" Software oder ich tue es nicht. Ist letzteres der Fall, dann hat sowas auf meinem Rechner nichts verloren, oder das Programm läuft und den Bedingungen, die ich im obigen Posting als Beispiel genannt habe. Und um beim Realplayer zu bleiben: Wer sagt mir denn, das bei einem Onlinestream kein Phonehome stattfindet?

wizard

[Gast_IRON_*]

Vor all den Gegenargumenten wurde eines noch zuwenig beleuchtet, ist aber eigentlich das wichtigste. Wenn eine Desktopfirewall in der Lage ist, mit dem User zu interagieren, ob nun mit Admin-oder eingeschränkten Userrechten, dann ist schon mal prinzipiell Gefahr im Verzug, da bei Anfragen wie "Programm xy.exe möchte ins Internet. Darf es?" gerne mal auf "Klar doch" oder wahlweise "Sicher, aber nerv mich nicht" geklickt wird.
Da nun aber die meisten Hersteller und hochkompetenten Webportale dem User weismachen, die DTFW sei selbstlernend, sicher vorkonfiguriert und kinderleicht zu handhaben und dieser dann auch promt alles falsch versteht, was nur geht und mit den Fachtermini des Handbuchs überfordert ist, sind DTFWs in meinen Augen indiskutabel, wenn man von ihnen Schutz erwartet.

[Internetfan1971]

Naja, ich bin kein Computerexperte und sonst auch kein Experte in irgend etwas.

Auffällig auf den Seiten der Kritiker ist auf jeden Fall, daß sie wirklich jeder PFW jede Daseinsberechtigung absprechen, also überhaupt nicht differenzieren nach dem Motto: „Ist alles der selbe Schrott!“

Ich hatte in den letzten Jahren verschiedene PFW auf meinen Rechner. Aber die meiste Zeit keine, wie jetzt auch. Und wurde ich gehackt? Nein, weder mit noch ohne PFW. Zumindest nicht das ich wüßte...

Und dies spricht zumindest nicht gerade für ihre Notwendigkeit, umgekehrt auch nicht unbedingt dagegen, weshalb ich zumindest nicht aus Sicht der Praxis heraus argumentieren könnte das eine PFW nun umgingt notwendig wäre.

Vielleicht gab es ja einfach nichts abzuwehren oder sie war so gut das ich gar nichts gemerkt hatte...

Ich bin immer gut damit gefahren,

- mein OS und sonstige wichtige Software wie Browser aktuell zu halten

- zumindest seit erscheinen von Mozilla (Firebird) /Phoenix auf den IE endgültig zu verzichten

- mein System sicher zu konfigurieren

- Einsatz eines AV-Scanners

- Meinen Verstand zu benutzen, d. h. zum Beispiel Vorsicht bei E-Mails vor allem mit Anhang, Vorsicht beim Downloads etc.

Als langjähriger Internet-User kann die Notwendigkeit einer PFW nicht (ein)sehen, ich bin aber nicht kompetent genug hier wirklich so argumentieren zu können einer PFW z. B. Funktionsunfähigkeit oder so bescheinigen zu können.

Aber wir haben ja Experten hier!