Druckversion des Themas

Geschrieben von: Internetfan1971 15.04.2003, 13:36

Hallo!

Es freut mich wieder hier dabei zu sein!

Ich möchte hier zum Start ein altes Thema neu aufleben lassen: Sinn und Unsinn von. Desktop-Firewalls.

Ich bin vor einigen Tagen wieder auf das Thema durch die Web-Site http://www.tecchannel.de/ gestoßen.

Dort wurden sechs Desktop-Firewalls getestet.

http://www.tecchannel.de/software/405/index.html

tecChannel gibt den Kritikern durchaus bedingt recht DF zu kritisieren, ist aber nicht der Meinung DF wären schlicht überflüssig.

Argumente, die durchaus gegen eine DW sprechen (können)

- Allzu leicht seien solche Desktoptools zu umgehen, da sie mit statischen Filterfunktionen arbeiten

- So könnten sich problemlos Trojaner bei der Verbindungsaufnahme nach außen als Nutzprogramme ausgeben oder ihren Datenverkehr über erlaubte Verbindungen tunneln

Gegenargumente

- Zum einen verfügen nicht alle potenziellen Angreifer über tiefschürfende Protokollkenntnisse und ausgefeiltes Werkzeug - Stichwort: Script Kiddies

- Zum anderen bieten heute auch desktopbasierte Schutzprogramme ein beachtliches Repertoire an Abwehrmöglichkeiten. So finden sich im Testfeld sowohl Applikationen, die Angriffe portunabhängig durch ständige Verkehrsanalyse entlarven, als auch zwei Tools, die über MD5-Prüfsummen die Authentizität zugreifender Programme abklären

Die (Gegen)-Argumente habe ich einfach mal so übernommen. Sie können ja auch auf beiden Seiten ergänzt oder ja vielleicht auch widerlegt werden?

Geschrieben von: Bo Derek 15.04.2003, 13:49

Das für mich wichtigste Argument gegen eine Firewall ist wohl das fehlende Verständis derselben durch den davor sitzenden User. Die "beste" Firewall bringt nichts, wenn sie:

a) nicht konfiguriert werden kann bzw. wird,
B) der User genervt oder überfordert ist und lediglich die aufpoppenden Sicherheitsmeldungen "wegklickt" oder
c) der User sich in absoluter Sicherheit wiegt und deshalb sein Gehirn beim Surfen ausschaltet, ganz frei á la "ich hab die Ultrafirewall, mir kann eh niemand was"

Demgegenüber ist es für mich dennoch sehr komfortabel. So kann ich bei einem LAN die zulässigen Anschlüsse/Protokolle einschränken oder aber Informationen über den Systemstatus bzw. Logs anzeigen lassen. Klar, das geht auch mit anderen Tools, doch würde ich dieses Argument eher als Tautologie bezeichnen.

Es gibt sicher noch haufenweise Argumente für oder gegen DF, aber der Beitrag ist ja noch jung

Geschrieben von: Gorgo 15.04.2003, 14:30

Wie Bo schon richtig schreibt, ist es in meinen Augen auch vor allem Scheinsicherheit, die eine Firewall vermittelt!

Immer wieder erleben wir ja, dass gerade User kostenloser PFW Lösungen und User, die sogenannte Komplettlösungen alá Norton oder McAffee gekauft haben, sich hinter ihrer Wall sicher fühlen.

Die aufpoppenden Fenster werden weggeklickt und wenn mal ein Programm nach Hause telefonieren möchte,
weiß man in der Regel ja nicht was das ist und erlaubt es einfach.

So eingesetzt, ist eine PFW imho einfach sinnfrei.

Geschrieben von: cruz 15.04.2003, 14:32

Genau, wizard war noch nicht da *fg*.

.cruz

Geschrieben von: Gladiator 15.04.2003, 14:45

Genau DAS wollte ich grade eben auch schreiben

Geschrieben von: Heike 15.04.2003, 14:50

Ich sehe mittlerweile FW als fast sinnlos an, sie können eben sehr leicht umgangen werden, dazu ist auch kein tiefschürfendes Wissen erforderlich.

Ein Portscan ist zum eigenen Schutz wesentlich aussagekräftiger, beispielsweise http://check.lfd.niedersachsen.de/start.php Welcher Port ist warum offen, wenn man es bei allen Ports weiß, ist es gut.

Oder mal sehen, welche Dienste so im Internet sind, http://www.netlimiter.com/ geht es.

Trotzdem nutze ich noch eine FW, aber mit dem Wissen, sie ist eben kein Schutz, hat aber doch meist eine recht brauchbare Protokollfunktion, die hilft, den Router zu konfigurieren, wenn es mal Probleme mit dem Verbindungsaufbau gibt.

Geschrieben von: Internetfan1971 15.04.2003, 15:10

Bei der Frage von Sinn bzw. Unsinn von Desktop-Firewalls sind denke ich mal die Angriffspunkte von Außen (Internet) auf den PC zu nennen und deren mögliche Beseitigung.

a) Angriff über offene Ports

Lösung: Nicht benötigte Dienste schließen bzw. so konfigurieren, daß die Ports nicht nach außen offen sind.

D. h. beispielsweise bei einem LAN die Datei- und Druckerfreigabe NICHT an den DFÜ-Adapter binden.

B) Angriff über Java/ Java-Script und ActiveX

Lösung: Sichere Browser wie Netscape, Opera etc. verwenden, welche vor allem kein ActiveX haben

c) Denial of Service Attacken

Lösung: Updaten des Betriebssystems

d) Trojaner

Lösung: Ein gutes Anti-Viren -/ Anti Trojaner-Programm

e) Sypware

Lösung: z. B. Ad-aware

f) Vorschläge ?

So wie ich es sehe, kann ich mich zumindest gegen die häufigsten Angriffe gut schützen! B)

Wozu also noch eine Wall?

Geschrieben von: Witti 15.04.2003, 15:49

b) ob Opera u. Co. wirklich soviel sicherer Sind als der IE kann ich nicht sagen. Zumindest aber stehen sie kaum in der Schusslinie.

c) spielt wohl eher bei Server-Systemen eine Rolle, als beim privaten Anwender.

d) Ich persönlich bin nicht davon überzeugt, dass das notwendig ist, solange man sicher darüber bewusst ist, was man tut. Zumindest bei verseuchten E-Mails. Verseuchte Dateien per Download sind mittlerweile IMO vernachlässigbar, jenachdem wo man sich natürlich rumtreibt.

Geschrieben von: JFK 15.04.2003, 16:09

Da sich die Internetverbindungsfreigabe und Outpost nicht vertragen, nutze ich keine Firewall mehr. Mich interessierte eigentlich nur, welches Programm nach draußen möchte. Wobei mir noch keiner sagen konnte, was der Windows Explorer im Netz sucht und wie ich seine Ausflugsversuche reproduzieren kann

JFK

Geschrieben von: Internetfan1971 15.04.2003, 18:37

Hier noch ein interessanter Nachtrag zum Thema

Ausführbare Inhalte - Sicherheitsrisiken und Lösungen

http://www.bsi.bund.de/taskforce/literatur/aktivinh.htm

Und ja: Alternative Browser sind sicherer!

Geschrieben von: Gorgo 15.04.2003, 20:43

Nicht alle! Ich würde Netscape für nicht die Bohne sicherer halten - bei all dem Zeug, was Du Dir da mit installierst - AIM und so...

Geschrieben von: Bo Derek 15.04.2003, 23:18

Ein wirklich beachtliches Risiko bringt der IE IMHO schon mit ActiveX mit! Insofern ist die Frage, ob Vergleiche bezüglich der Sicherheit von Internet Browsern an der Default Konfiguration festgemacht werden oder nicht. Ich halte die Standardeinstellungen für überaus wichtig, da erfahrene User meiner Meinung nach auch mit dem IE umgehen und sich nicht mehr oder minder sicher im Internet bewegen können.

Firewalls wie Outpost setzen da an einem völlig anderen Level an, denn hier kann man zum Beispiel aktive Inhalte grundsätzlich konfigurieren, unabhängig vom verwendeten Browser.

Geschrieben von: nk51 17.04.2003, 15:22

Hallo geehrte Helfer (und für meine Begriffe: Durchblicker)!
(Bin seit 1 1/2 Monaten ÜBERHAUPT dabei, haupsächlich als Leser/Lerner); zur Vorgeschichte:
War ich glücklich, als ich als "Sicherheitsbeitrag" zu meinem ersten Rechner u.a. Outpost und mehrere andere sicherh.spez. Progrämmchen herunterladen und installieren konnte; nach Bestehen von Steve Gibsons "Shields Up!/Stealth"-Prüfungen fühlte ich mich fast unangreifbar, bis mir ein paar vernünftige Menschen all dies (im positiven Sinne!) ausgetrieben haben!
- Um den Wind.Messenger und ein permanent "herausspazierenwollendes" Wörterbuch (und noch ein paar
andere) in die Kategorie "unerlaubt" bzw. in die "ewigen Jagdgründe" zu verbannen braucht man keinen
"Scheinsicherheitsfaktor".
- Andererseits: Wenn der Windows Explorer aus heiterem Himmel "hinaus" wollte, bzw. IE 6 partout
irgendwelche (remote) ports besuchen wollte oder die verschiedenen Browser, etc. die ich zum
Kennenlernen darauf habe, um Erlaubnis gefragt haben, was hätte ich tun sollen? Eventuelle MS-updates
verbieten? Nicht ins Internet gehen?
- Will sagen: Die ständigen Meldungen wie: "Das müssen Sie uuunbedingt MS melden!" und die
unvermeidliche "Alexa" wird man auch with a little help of friends wie xp-antispy, adaware6 etc. auch los.
- Weiterhin halte ich Pauschalbemerkungen in vielen "Fachzeitschriften" besonders für Anfänger wie mich
("...gefahrlos ins Internet, kaufen Sie bla, bla...) für gefährlich. Eine weitere Gefahr ist, dass dem user
anbetracht des zu erwartenden downloads der zeigefinger, der sowohl das firewall-fenster aus- als
auch den download-Prozess einschaltet, zu leicht zuckt.
- Gestattet mir den Vergleich: Wenn der angehende Koch (/Autofahrer etc) von Rezepten, Zutaten (/Fahren)
keine Ahnung hat, soll er NICHT für alle Ewigkeit die Finger davon lassen, sondern sich zuerst das nötige
Wissen aneignen. Wer kann mir in dieser Phase genau sagen, welche von den 65.000 (?) ports anfällig
sind? Bleiben wir beim Outpost, nach welchen Kriterien erlaubt Mensch wann, welchem Programm, was?
Mit der Hoffnung, Euch in meinem ersten Schreiben in diesem Forum nicht mit zu oft Wiedergekautem auf
den Wecker gegangen zu sein + besten Grüssen

Geschrieben von: CyberFred 17.04.2003, 15:51

Welche Ports anfällig sind und welche nicht lässt sich imho nicht so einfach sagen. Wichtig ist, dass ein Port nur dann offen ist, wenn dahinter ein Dienst steht, der diesen Port benutzt. Es kommt also nicht darauf an welcher Port, sondern welcher Dienst benutzt einen speziellen Port. Je nachdem, welcher Dienst den Port geöffnet hat lässt sich sehen, ob dieser Port in genau diesem "Zustand" Gefahren mit sich bringt oder nicht. Hier nützliche Informationen zum Thema http://www.kssysteme.de und http://www.trojaner-info.de/port.shtml.

ciao

Geschrieben von: nk51 17.04.2003, 16:53

Hallo CyberFred !
Vielen Dank für die prompte Antwort. Zwar war die Frage eher "in Sachen firewall & CO" hypothetisch gemeint (nach dem Motto: Wie viele % blicken durch?), führt aber zur Nächsten: Habe "Kaune- Beenden von Diensten" espeichert, aber mich noch nicht darangewagt, da dort eindeutig steht: "Nach einer Standardinstallation von Windows XP Professional"; ich habe Windows XP Home, macht es nichts aus? Habe nämlich Angst, dass "irgendetwas" passiert, das nicht rückgängig gemacht werden kann, falls mir ein Fehler unterläuft!
Grüsse

Geschrieben von: CyberFred 17.04.2003, 17:46

Ich denke mal nicht bzw. mir sind keine wirklichen unterschiede zwischen Xp Pro und Home Ed. bekannt.
Mal noch ne Frage zu Ports: Ist es theoretisch gesehen eigentlich Möglich, dass mehrere Dienste gleichzeitig den selben Port benutzen können oder kann/darf pro Port immer nur ein Dienst dahinter laufen?

ciao

Geschrieben von: Tiber 18.04.2003, 09:19

Es besteht die Möglichkeit, weitere Profile zu erstellen, so dass du Einstellungsveränderungen testen kannst.
Eine Übersicht über die verschiedenen Dienste sowie die Default-Einstellungen unter XP findet man auch bei http://www.blackviper.com/WinXP/servicecfg.htm

Gruß Tiber

edit: Link klickbar gemacht

Geschrieben von: Bo Derek 18.04.2003, 09:31

Warum hast Du den Link so verändert?

Geschrieben von: Tiber 18.04.2003, 10:42

Das war wahrscheinlich überflüssig. Aber ich kann ja nicht alle Seiten und Links mit dem IE überprüfen ,da ich normalerweise mit Opera 7 unterwegs bin.

Gruß Tiber

Geschrieben von: Grizzly 23.04.2003, 05:06

zum Thema Firewalls möchte ich auch gerne etwas sagen:

es snd ja einige Webseiten verfügbar,die Tests anbieten,um die Firewall oder besser den eigenen PC überprüfen und dann einem mitteilen,was nicht stimmt.
solch einen Test habe ich vor kurzen auch mal gemacht,zugegeben aus reiner Neugierde und zwar einmal mit Firewall (Outpost) und einmal ohne.
Merkwürdigerweise komme ich auf die gleichen Resultate.

das wirft natürlich die Frage auf,wozu überhaupt eine Firewall wenn Ports,hinter denen keine Dienste angeboten werden,auf "stealth" sind und damit von außen ja nicht zugänglich?????

Muß aber auch dazusagen,ich habe den Test mit Opera 6.06 gemacht und ich gehe übers Kabel ins Netz (ist hier in den USA einfach billiger als DSL)....

zweite Frage: sollte man eine Firewall überhaupt installieren,wenn man einen Breitbandanschluß hat??(ich meine,weil man ja eigentlich immer online ist,solange der Rechner läuft)

Grizzly

Geschrieben von: Witti 23.04.2003, 05:52

Verwendest Du vielleicht WindowsXP mit aktivierter hauseigenen Firewall.?

Geschrieben von: Rokop 23.04.2003, 07:50

OK, dann möchte ich die Diskussion noch mal richtig entfachen. Was meint Ihr, wieviel verschiedene Trojaner gibt es ? Ich schätze mal mit Varianten, Unterarten und alles was in die Kategorie mit hineingehört so irgendwo in dem Bereich 5000 bis 10000. Wieviel davon sind erfolgreich in der Lage eine Firewall zu tunneln ? Ich schätze mal nicht mehr als 50. Die Zahl ist sicher recht hoch gegriffen, denn ich selbst kenne nicht mal 10. Von diesen Zahlen ausgehend, würde ich mal meinen, daß eine wirksame Access Kontrolle, wie sie einige Firewalls schon ansatzweise bieten, gar nicht mal so unpraktisch sein sollte. Die Entwickler einer Firewall könnten meiner Meinung nach genau hierhin das Hauptaugenmerk legen. Es gibt ja schon einige Ansätze, tunnelnde Trojaner zu entlarven. Das eine Firewall Ports schließen oder den Rechner "stealth" machen soll ist quatsch. Wer keine Dienste anbietet, braucht so etwas nicht. Außerdem sind die wenigsten SK`s in der Lage, etwas mit einem offenen Port anzufangen. Denn nur weil er offen ist, sind sie ja lange noch nicht drin. Und die Gefahr von einem "professionellen Hacker" gehackt zu werden ist ziemlich gering.
Also zurück zum tunneln. Laßt uns doch mal darüber reden, welche Möglichkeiten es gibt, eine Firewall zu tunneln und welche Anwendungen wir bereits kennen, die dies bereits erfolgreich schaffen. Zu dieser Gruppe sollten sicher Trojaner, aber auch Spyware und Phonehome Anwendungen gehören. Die bekannten Demo Exploits sollte man lediglich nur von der technischen Seite betrachten. Bei manch einem Exploit bleibt mir persönlich der Beweis aus, daß die Firewall auch wirklich umgangen wurde (Auch wenn ich dies nicht grundsätzlich bestreiten möchte).

Geschrieben von: Grizzly 23.04.2003, 13:00

nein,ich verwende Windows ME.mein XP verschimmelt derzeit in irgendeiner Schublade da es mir einfach zu aufgebläht ist.

@rokop

eben,wenn keine Dienste angeboten werden,warum dann noch die Ports extra zumachen? man kann nunmal eine Tür nicht zweimal schließen.....
das aber reduziert eine Firewall zu einem Programm,welches nur einfach Bescheid sagt,wer denn da mal rauswill......
Insofern wird eine Firewall widersinnig......

grizzly

Geschrieben von: Internetfan1971 23.04.2003, 18:21

Hallo!

Auch wenn hier schon einiges zum Thema gesagt wurde, nochmals zwei Links

„Durch eine Personal Firewall kann man momentan keine zusätzliche Sicherheit erreichen. Eine sichere und angemessene Installation und Konfiguration des Betriebssystems reicht völlig aus.“

http://www.team-cauchy.de/personal/


Die Schutzwirkung einer sog. Desktop Firewall ist daher gleich Null!

http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html

Tja, wer es immer noch nicht glaubt, da werden sie nicht geholfen...

Geschrieben von: wizard 23.04.2003, 19:33

Davon gibt es leider eine Reihe sehr "unseriöser" Testseiten. Erstaunlicherweise rät fasst jeder dieser Testseiten am Ende eine Personal Firewall zu installieren - ganz gleich was das Ergebnis aus. Außerdem testen einige dieser Seiten Dienste (Ports), die eigentlich nichts auf einem normalen "Heim-Rechner" verloren haben: http, ftp, etc.



Vermutlich gibt es bei Dir keine offenen Ports, d. h. es laufen keine Dienste. Bei WinME ist eigentlich nur der Port 5000 zu deaktivieren und man kann auf eine Personal Firewall verzichten.



"Stealth" ist blödsinn. Siehe dazu auch unsere Firewall FAQ. Aber Du hast es eigentlich klar erkannt: Keine Dienste - keine Firewall. Aber für viele ist halt "zu einfach" zu verstehen.



Wie oben schon erwähnt: Keine Dienste - keine Firewall. Außer man möchte sich einen haufen zusätzlicher Problem auf seinen Rechner holen. "Sicherer" macht man ihn im diesem Fall mit einer PF nicht.

wizard

Geschrieben von: wizard 23.04.2003, 20:07

Schön. Ich finde diese Thema wird in letzter Zeit einfach zu wenig diskutiert.



Dieses Argument kommt immer wieder ("Es gibt keiner/wenige Trojaner, die eine PF umgehen, daher ist eine PF doch nicht so schlecht. Doch leider verliert man bei solchen Zahlenspielen das Gesamtbild aus den Augen:

Nehmen wir folgende Scenarien an:

1) User startet *.exe Datei. Datei ist mit einem Virus infiziert. Nach recht kurzer Zeit ist das gesamte System infiziert und wichtige Daten/Dateien beschädigt. Eine PF kann da nichts ausrichten. Und zahlenmäßig sind Viren immer nocht Trojanern überlegen.

2) User startet *.exe Datei. Danach wird die Festplatte formatiert. Auch hier bietet eine PF keinen Schutz, denn destruktive Malware (Trojaner) ist IMHO Backdoor-Trojanern immer noch zahlenmäßig überlegen. Ich meine das Verhältnis ist 70% Trojaner/30% Backdoors, wenn ich mich recht entsinne.

3) User startet *.exe Datei. Datei ist ein Wurm, der auf dem Rechner nach persönlichen Dokumenten sucht und diese dann per EMail an an die Kontakte im Adressbuch verschickt. Und was tut eine PF hier? Wiederum nichts. Die Infektionszahlen solcher Würmer übersteigen bei weitem den realen Zahlen von Backdoor-Trojanern.

Das sind nur drei Beispiele für Malwareszenarien gegen die eine PF nichts ausrichten kann. Nur mal in Relation zum Zahlenbeispiel. Daraus ergibt sich relativ eindeutig, dass eine Infektion immer mit einer ausführbaren Datei anfängt, die der User starten muß. Genauso wie bei Backdoor-Trojaner. Somit kann der einzig wirkliche Schutzansatz nur sein genau zu prüfen (und zu hinterfragen) auf was man eigentlich klickt - und nicht eine fragwürdige Software (die werbewirksam als Firewall bezeichnet wird), die nur ab und an mal eventuell unter Umständen einen Backdoor-Trojaner stoppt. Den wiederum der User selbst erkennen muß (Stichwort "ist iexplorer.exe" ein Trojaner?)

Und noch ein Punkt zu den Zahlenspielen: IMHO kann man fast 100% der Trojaner, die angeblich von eine Personal Firewall geblockt werden, dadurch unschädlichen machen, dass man die Boardmittel von Windows verwendet, sprich eingeschränkte Benutzeraccounts.



Gegen "tunneln" von Firewalls gibt es keinen wirklichen Schutz.



Und mit regelmäßigen Windowsupdates wird die Gefahr noch geringer.



Der einfachste Weg eine Firewall zu tunnel ist übrigens eine EMail zu verschicken. Fakt ist, dass PFs gegen Malware nichts ausrichten kann, da eine "Infektion" nicht verhindert wird. D. h. die Malware kann alles machen: Firewall abstellen, Ruleset ändern, andere Applikationen benutzen, Knöpfe drücken , etc.

Im Klartext: Das eine PF wirklich vor Malware schützen könnte ist pure Illusion.

wizard

Geschrieben von: Optimist 23.04.2003, 21:01

@ Rokop
Das mit dem "Entfachen" der Diskussion hat ja bereits wunderbar geklappt. Ich finde die divergierenden Meinungen sehr interessant. Es wundert mich allerdings, daß sich nach den jahrelangen Diskussionen in Foren, Fachzeitschriften usw. noch keine einheitliche Meinung herausgebildet hat.

Geschrieben von: Rokop 23.04.2003, 21:08

Geschrieben von: Grizzly 24.04.2003, 01:05

soweit so gut...
mittlerweile kristallisiert sich ja heraus,daß FW's gegen malware nichts ausrichten.
damit trojaner und andere malware aktiv werden kann, ist ja der user da,der dann etwas dagegen unternehmen sollte,müßte,könnte.

werden keine dienste angeboten,gibt es auch keine zugriffe von außen,soweit sind wir uns ja auch schon relativ einig.

jetzt aber: wie schaut es denn jetzt mit den phonehome-funktionen einiger Programme aus,oder Spyware (naja,wer cookies hat,hat eh schon welche)??

zumindest kann ja selbst die einfachste FW hier Bescheid sagen,daß da jemand raus will.Es liegt dann ja am User,ob er es erlaubt oder nicht.......

Fazit: nicht die Firewalls sind schlecht oder unnütz, der USER ist es

Grizzly

Geschrieben von: Internetfan1971 24.04.2003, 09:56

Hi Leute!

Um dies Diskussion mal weiter anzuheizen


Es ist zwar sicherlich richtig, das eine PFW i. d. R. nichts oder zumindest nicht viel gegen Viren, Trojaner etc. ausrichten kann, aber ist das die wirkliche Aufgabe einer solchen? Wohl kaum!

Es ist zwar wohl unbestreitbar das zumindest eine gewisse Anzahl von Trojanern und Viren eine PFW ausschalten kann, aber dies trifft ja genauso gut auf Antivirenprogramme zu! Ich hatte da mal was läuten hören...

Hier würde wohl keiner ernsthaft argumentieren sich kein AV-Programm zu installieren, nur weil EINIGE Viren/Trojaner ein AV-Programm ausschalten können!?! :o

Zum Schutz des Rechners und der PFW gibt es gute (!) AV-Programme. Vorzugsweise Kasperky und alle mit deren Scan-Engine.

Folglich kann Malware nicht oder kaum als Gegenargument in bezug auf PFW dienen.

@Grizzly

„jetzt aber: wie schaut es denn jetzt mit den phonehome-funktionen einiger Programme aus, oder Spyware (naja,wer cookies hat,hat eh schon welche)??

zumindest kann ja selbst die einfachste FW hier Bescheid sagen, daß da jemand raus will. Es liegt dann ja am User, ob er es erlaubt oder nicht.......“


Ach, wirklich??? :o

Stell Dir mal vor ein Download-Programm wie LeechGet hat Sypware-Komponenten. Du installierst Dir das Prog und erlaubst den Programm natürlich beim ersten Programmstart eine dauerhafte Verbindung zum Internet.

Wie willst Du jetzt wissen, das LeechGet Infos zum Hersteller sendet? Du hast Deiner PFW den Zugriff aufs Internet erlaubt!

PFW bieten Dir mit Sicherheit kein Schutz! Wie auch?

Geschrieben von: IRON 24.04.2003, 12:54

Es gibt doch eine einheitliche Meinung und die lautet: PFW sind ganz toll und schützen.
Aber Spaß beiseite.
Du meinst sicher, warum es noch immer Leute gibt, die an PFWs glauben, obwohl die Argumente der Gegenseite überzeugend und richtig sind?

Das liegt daran, dass die PFW-Fans
A) den anderen nicht glauben WOLLEN
B) nicht deren Argumente überprüfen (Dummheit)
C) nicht in der Lage sind, sie zu überprüfen (fehlendes Wissen)
D) nicht bereit sind, Zeit und Mühe in die Überprüfung zu investieren (Faulheit)
E) nicht bereit sind, Zeit und Mühe in die korrekte Systemkonfiguration zu investieren (Faulheit)

Da der Zustrom von Newbies ins Netz vorerst größer sein wird als die Menge der Personen, die hinreichend viel Wissen und Erfahrung gesammelt haben, um zu erkennen, dass PFWs Dummenfang oder zumindest überflüssig sind, wird es keine einheitliche Meinung contra PFWs geben.
Man kann nur versuchen, es den Leuten auszureden. Ob sie es glauben oder nicht, hängt in erster Linie von ihrer Bereitschaft ab, die Erfahrungen derjenigen zu respektieren, die PFWs ablehnen. Da haperts gewaltig. Drum ist es schwer bis unmöglich, ausreichend viele Newbies von der Überflüssigkeit ihrer Schlangenölsoftware zu überzeugen.

Geschrieben von: Grizzly 24.04.2003, 12:59

wer sich Programme mit Spyware installiert,ist eh selber schuld.

nur zur Info: leechget habe und kenne ich erstens nicht,zweitens benutze ich keine DLM (mit Ausnahme dem von OPERA) und drittens gibt es spy-freie Alternativen.....

somit ist also wiederum der User derjenige welcher,weil solche Programme sich wohl kaum von alleine installieren.

wenn das PEBCAK letztendlich mal alles Caches des humanoiden PC's einschalten wolle und sich Gedanken über seinen PC macht,ist der Einsatz von Firewalls absolut unnötig.Aber mit der weitverbreiteten Krankheit "Klickomanie" wird es immer einen Bedarf an Firewalls geben,nur um einem vorzugaukeln,man sei ja geschützt.

Grizzly

Geschrieben von: Internetfan1971 24.04.2003, 16:33

@IRON

F) weil User nicht glauben, das die Netzwerkspezialisten, Programmierer etc. von DFW´s nur Idioten sind!

G) weil User nicht glauben, das die Tester von DFW´s alles Idioten sind!

Fällt mir ehrlich gesagt auch ziemlich schwer!

Zumindest hatte ich mit oder auch ohne DFW noch nie einen mir bekannten Angriff, was nicht gerade für DFW´s spricht...

@Grizzly

War ja auch nur ein Beispiel, hätte genauso gut jedes x-beliebige andere Programm sein können!

Ich wollte einfach nur Deine eigene Aussage

„zumindest kann ja selbst die einfachste FW hier Bescheid sagen, daß da jemand raus will. Es liegt dann ja am User, ob er es erlaubt oder nicht......“

widerlegen, wovon Du scheinbar selber überzeugt warst! Hatte sich zumindest so angehört...

Ich wollte nur den Beweis antreten, das (reine) DFW´s nicht vor Sypware schützen können. Es sei denn sie haben z. B. ein entsprechendes Modul implementiert oder man kann dies nachholen.

Dies soll es etwa bei Outpost geben.

Gruß
Internetfan1971

Geschrieben von: Grizzly 24.04.2003, 17:29

stimmt,outpost hat solch plugins....die können sogar soweit eingerichtet werden,daß nicht mal mehr werbung erscheint,von popups ganz zu schweigen.

als gegenmaßnahme zu spyware hat sich übrigens AD-Aware als recht nützlich herausgestellt......

außerdem können reine FW's auch Spyware unterbinden,daß dann natürlich (jetzt mit dem Beispiel DLM) auch kein Download mehr möglich ist,steht auf einem anderen Blatt.......

mir persönlich kommt es darauf an,einen PC zu haben,auf dem sich außer mir niemand herumtummelt........
und daß habe ich IMHO geschafft (auch ohne FW)......

grizzly

Geschrieben von: wizard 25.04.2003, 20:21

Das liegt daran, dass PFs ein riesiger Markt ist. Außerdem macht man sich im Web ja nicht sonderlich beliebt, wenn man irgentwas gegen PFs sagt. Schaut doch nur mal wer so alles von PFs profitiert. Kein Wunder, dass der Hype immer noch da ist:

A) Der Hersteller. Auch wenn einige PFs Freeware sind. Der "Werbefaktor" ist gigantisch (siehe ZoneLabs) und wenn man den Leuten nur oft genug mit fragwürdigen Meldungen ein "Bedrohungsszenario" vorgaugelt, dann klingelt auch in Zukunft die Kasse.

B) (Fach-)Zeitschriften. Das Heft verkauft sich halt besser wenn man vorne auf dem Cover "Schutztools" anpreist. Das man dann im Heft nicht schreiben kann, dass der Schrott nichts taugt versteht sich ja von selbst. Außerdem kann man diese Tools (&Artikel) ganz toll als Security- oder wahlweise nächsten Monat als Hackersonderheft auf den Markt schmeißen.

C) Verlage. Bücher wie man NIS oder ZA benutzt sind schnell und billig produziert (Stichwort Bücher von DAUs für DAUs).

D) Securitywebseiten. Was wäre Trojaner-Info ohne die deutsche Anleitung zu ZoneAlarm. Versteht sich schon fast von selbst, dass die Macher (obwohl sie es eigentlich besser wissen müssten) die Anleitung anbieten, damit ihre Seite im Gespräch bleibt. Naja und über Rokop-Security sage ich an dieser Stelle mal lieber nichts...

Fakt ist, dass es eine "Nachfrage" nach Sicherheit gibt, die keinlerlei Wissen und/oder Lernbereitschaft erfordert. Das dies nicht geht steht eigentlich außer Frage. Das man aber trotzdem diese "Illosion" prima verkaufen kann zeigt ja Symantec mit ihrer derzeitigen Werbekampange, die verstricht umfassend gegen Gefahren aus dem Internet geschützt zu sein, wenn man NIS kauft und installiert.

wizard

Geschrieben von: Rokop 25.04.2003, 20:27

Hehe, was soll denn das heissen ? Immerhin setzten wir uns mit dem Thema kritisch auseinander, siehe Firewall FAQ

Geschrieben von: wizard 25.04.2003, 20:34

Cookies = Spyware ist schon überzogen. Denn Cookies können durchaus nützlich sein. Selbst der IE hat ja jetzt eine brauchbare Cookieverwaltung. Somit kann man das "Problem" mit "Boardmitteln" lösen und braucht keine PF dafür.

Gegen Spyware kann eine PF genauso wenig anrichten wie gegen Malware anderer Art. Wenn das Programm in irgenteiner Form (z. B. Onlineupdate, Streaming) mit dem Internet kommunizieren muß, dann entfällt auch hier die "Kontrolle".

Das eigentliche Problem ist aber - zumindest ist das meine eigene Erfahrung - nutzen diese "Phonehome"-Meldungen von PFs meist gar nichts. Denn was genau sagt so eine Meldung eigentlich aus? Was da versendent werden soll? Nein. Ob überhaupt irgentwas gesendet wird? Nein, denn die PF meldet sich ja schon, wenn ein Programm nur überprüft, ob eine Verbindung ins Internet vorhanden ist.

Fazit: Phonehomekontrolle ist eigentlich sinnlos, wenn man nicht alle Programme wirklich überprüfen kann. Auf meinem Rechner sind etliche Programme installiert, die Zugriff aufs Internet brauchen. Somit ist bei mir eine "Phonehome" gar nicht möglich. Und erlich gesagt auch nicht gewünscht, da auf meinem PC nur Programme laufen, die mein "Vertrauen" geniessen bzw. ich akzeptiere, dass diese mich eventuell ausspionieren, weil ich sie entweder nicht (durch andere Software) ersetzen kann oder will (z. B. Windows )

wizard

Geschrieben von: wizard 25.04.2003, 20:53

Stimmt eine "Firewall" dient zum Trennen von verschiedenen Netzen. Beispielsweise Internet/LAN. Alleine schon aus diesem Grund machen eigentlich Firewalls für Client-Rechner keinen Sinn.



Malware, die AV Software attackiert, gab es schon in den 80er des letzten Jahrhunderts . Das Argument hört man häufiger hat aber einen großen gedanklichen Fehler: Die AV Software ist nur solange verwundbar, als dass sie den Virus nicht erkennt. Eine PF ist dauerhaft verwundbar, denn diese Software verhindert ja nicht das Ausführen von Malware.



Nein. Aus oben genannten Gründen.



Super Idee. Ich installier mir eine eine weitere Schutzsoftware, die meine unnütze Schutzsoftware (PF) überwacht. Ist auch besser als sich über ein richtiges Schutzkonzept Gedanken zu machen. Anstatt unötige Dienste zu deaktivieren und damit dauerhaft potenzielle Sicherheitslücken zu schließen, wird einfache eine Software installiert (PF), die eventuell fehlerhaft bzw erst Angriffe ermöglicht.



100% Zustimmung.

wizard

Geschrieben von: wizard 25.04.2003, 20:57

Exakt. Rokop-Security setzt sich mit dem Thema kritisch auseinander im Gegensatz zu Trojaner-Info, wo man sich ja jezt scheinbar als "Beschützer" der ZoneAlarm-Jünger profilieren will. Siehe dazu diesen Beitrag im Trojaner-Board. http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=14;t=000317

wizard

Geschrieben von: IRON 25.04.2003, 21:58

Muss dir zustimmen. Diese Tendenz fällt mir auch auf. Gut, dass ich in dieses Board kam und lernen konnte, bevor es soweit kam.

Geschrieben von: CyberFred 25.04.2003, 22:20

@IRON und Wizard:
Ich denke das sollte man nicht so extrem sehen. Ok, das Posting von Eisi versteh ich zwar auch nicht, aber ich denke es gibt noch genug Leute, die jemanden _wirklich_ davon überzeugen können, dass PFWs sch... sind und dass sich nun der grössere Teil im TB _für_ ZA ausspricht, ist ja nicht wirklich so!

ciao

Geschrieben von: IRON 25.04.2003, 22:32

DAS hat ja auch niemand behauptet. Aber die Tendenz zum Kuscheln mit ZA-Gläubigen ist IMO eine steigende und resultiert eben daraus, dass es einerseits eben nicht so leicht ist, jemanden vom Gegenteil zu überzeugen, wenn der nicht will und zum anderen aus dem Wunsch heraus, im Board möglichst wenig Reibungspunkte zu haben.

Geschrieben von: Rokop 25.04.2003, 23:05

Wir sind halt in der Minderheit.....

Geschrieben von: piet 25.04.2003, 23:16

und dann nimmst Du das Wort Sicherheitskonzept in den Mund. Das macht Dich nicht gerade sehr glaubwürdig. ;-)

piet

Geschrieben von: wizard 26.04.2003, 10:27

Zu einem Konzept gehört auch das "Abwiegen" des Risikos. Es definiert was man wovor schützen will und welchen Aufwand man dafür betreibt. Fakt ist und bleibt, dass man bei manchen Applikationen halt "Kröten fressen" muß (vom OS ganz zu schweigen, wenn man Windows verwendet), wenn man auf deren Nutzung nicht verzichten kann oder nicht durch vergleichbare vertrauenswürdigere Produkte ersetzt.

Wie wichtig ist es für mich diese Applikation zu betreiben, und wie hoch ist das Risiko des Einsatzes so einer Software? Solche Entscheidungen gehören durchaus in ein Konzept. Eine anderes Beispiel für eine Entscheidung, die ich treffen musste, ist wie ich mein Netzwerk mit dem Interent verbinde: Linux-basierter Router/Firewall, OpenBSD-basierter Router/Firewall oder ein simpler Hardwarerouter. Klar haben erstere beiden diverse Vorteile, die die "Sicherheit" erhöhen könnten. Aber in meiner persönlichen Einschätzung des Risikos (und auch im Vergleich zu dem was ich eigentlich "schützen" will), reicht für mich ein Hardwarerouter vollkommen aus.

Oder auch die Auswahl der AV Software birgt ja schon einiges "Risiko". Keins der am markt erhältlichen Programme ist wirklich 100%ig perfekt. Also bleibt einem nichts anderes übrig als auch hier die Auswahl nach seinen persönlichen Preferenzen (bzw. Abwiegen des Riskos) entspricht.

wizard

Geschrieben von: rock 27.04.2003, 09:03

http://www.firewallinfo.de/index.php?Itemid=1 B)

gruss
rock

Geschrieben von: wizard 27.04.2003, 09:52

Uwe Berger is back. Hatte ich gar nicht mitbekommen...

wizard

Geschrieben von: Rokop 27.04.2003, 09:57

Hehe, auch ich bin sichtlich überrascht ! :o

Geschrieben von: Lucky 27.04.2003, 10:03

hmm na schauen wir mal wie das so wird

Rokop nicht nur du bist ueberrascht.

Geschrieben von: JFK 27.04.2003, 10:12

Totgesagte leben länger

JFK

Geschrieben von: Gorgo 27.04.2003, 10:20

Das überrascht mich jetzt nicht wirklich...

Geschrieben von: Gladiator 27.04.2003, 21:58

Muss man den sowas wirklich gleich auf die Portal seite (und vor allem in dem Schreibstil) setzen ?

3. Benimmt sich ein Gast des Forums nicht, wird er nach einmaliger Ermahnung ohne weiteren Kommentar entfernt und die Mitgliedschaft dieses Portals gelöscht. Fühlen sich andere Mitglieder belästigt, reicht eine kurze Nachricht an die Administration.

Also ich bin zwar einiges gewoehnt was Ordnung und "geregelten Forenverkehr" betrifft aber das schiesst wieder mal zu 100 Prozent ueber das Ziel hinaus.

Ich hoere jetzt schon das Gejammer wenn einer gebannt wird und es hat sich gar keiner aufgeregt

...um die Ecke guck.....

...wo steckt Wizard....


Bloss gut dass ich mit Firewalls nix am Hut habe

(sarcasm on)

Das ist auch der Grund warum ich Wizard noch nicht uebers Knie gelegt habe,
weil wir hier ausnahmsweise mal auf einer Wellenlaenge schwimmen,
auch wenn ich das vielleicht nicht so offenkundig verkuende...

(sarcasm off)

Geschrieben von: skep 27.04.2003, 22:09

Na mal abwarten..das neue Forum ist seit ein paar Stunden online. Ma gucken wie es läuft.

P.S. Ach ja...ich bin der Neue hier...Tach

Geschrieben von: Rokop 27.04.2003, 22:10

@ Michael

Geschrieben von: Gladiator 27.04.2003, 22:12

Reiss Dich ja am Riemen und verrate nicht das Du auch von uns uebergelaufen bist

Ich heisse Dich also herzlich willkommen hm... Obwohl...

Geschrieben von: Rokop 27.04.2003, 22:13

Hello und welcome in unserer illustren Runde

Geschrieben von: Internetfan1971 28.04.2003, 12:06

http://www.firewallinfo.de/index.php?option=displaypage&Itemid=101&op=page&SubMenu=



ICMP Angriffe

ICMP, das Internet Control Message Protokoll, angesiedelt im Network-Layer des TCP/IP Protokolls, ist ein vielfach verwendetes und meist ebenso wenig beachtetes Protokoll, über das potentielle Angreifer sehr bequem Informationen für spätere Angriffe ermitteln können oder selbst für Angriffe benutzen. Ein Grund, sich näher mit dem Protokoll zu beschäftigen und Ziele zu suchen, die Mitteilungsfreudigkeit des Protokolls mit geeigneten Mitteln zu bremsen.


Und was sind geeignete Mittel?

Auf der Seite wird ein Firewall-System die Outpost empfohlen

Sinnvolle Schutzmöglichkeiten

Der beste Weg ist der Einsatz eines Firewallsystems, mit dem ICMP Dienste gezielt aktiviert oder deaktiviert werden können. Zum Beispiel das Firewallsystem Outpost besitzt hier bequeme Möglichkeiten, ICMP Dienste zu kontrollieren und gezielt zu aktivieren bzw. zu deaktivieren. Sinnvoll ist einzig die Aktivierung von folgenden ICMP Diensten:

ECHO REPLY IN
Destination Unreachable IN
ECHO REQUEST OUT
Time Exceed for Datagramm IN

Alle anderen ICMP Dienste werden deaktiviert, was in den Standard-Einstellungen des Outpost Firewallsystems auch bereits der Fall ist.




Und wie geht das ohne Firewall? Mein Betriebssystem: Windows98

Gruß
Internetfan1971

Geschrieben von: IRON 28.04.2003, 14:35

Um mal ein vielfach verwendetes Zitat zu bringen:
ICMP ist NICHT böse.
Wie schon in dem Textauszug steht, kann ein potenzieller Angreifer lediglich ein paar nützliche Informationen abgreifen, z.B. die Systemzeit deines PCs, sein vermutliches Betriebssystem und ähnlichen Kram. MEHR NICHT! Erst dann, wenn du Dienste bereitstellst, kann er nun versuchen, seine Angriffe mit Hilfe der gewonnenen Infos etwas weniger breitbandig zu machen. Läuft bei dir ein Webserver? Sind Ordner oder Festplatten im Internet freigegeben? Laufen bei dir Internetanwendungen mit bekannten, aber nicht gefixten Bugs? Bei mir nicht. Soll ein neugieriger Mensch also ruhig wissen, dass bei mir Win98SE läuft und ich in Mitteleuropa zuhause bin. Ich hab auch nichts dagegen, dass er meinen ISP oder meinen Einwahlknoten kennt. Nur hilft ihm das in keiner Weise weiter. Nur weil jemand gesehen hat, welches Auto du fährst, kann er noch lange nicht deine Lieblingssender im Autoradio verstellen. Lass dich nicht verrückt machen.

Geschrieben von: JFK 28.04.2003, 15:13

Dann nutze doch die Firewall, es spricht doch nichts gegen deren Installation.
Du darfst nur die Erwartungen bezüglich Schutz vor Trojaner und Ähnlichem nicht all zu hoch schrauben
Aber darum ging es ja nicht

JFK

Geschrieben von: xfaktor 28.04.2003, 22:51

Mutig.

ICMP-Tunneling
Die Schwachstelle befindet sich hier bei Firewalls bzw. Paketfiltern, die bestimmen, ob ein ICMP-Paket aufgrund der im Paket enthaltenen IP-Adresse und der Nummer des Nachrichtentyps weitergeleitet werden darf oder nicht. So können Systemkommandos innerhalb eines zugelassenen ICMP-Requests die Firewall passieren. Befindet sich am Zielrechner ein modifizierter ICMP-Server können die Nachrichten ausgelesen und ausgeführt werden.

Träum also weiter B)

Geschrieben von: IRON 28.04.2003, 23:28

Wieso mutig?

EBEN! Drum schrieb ich ja auch

Okay...ich hätte noch ergänzen können läuft bei dir irgend ein Server/Dienst...
Dies ist doch immer der springende Punkt und wird nicht in Abrede gestellt. Wenn ich unter Kontrolle habe, was bei mir läuft, kann mir ICMP-Tunneling schnuppe sein. Wenn ich es nicht unter Kontrolle habe, nützt mir die Erkenntnis allein recht wenig. Das Vorhandensein einer DTFW auf einem System, bei dem ich nicht weiß, ob nicht doch ein präparierter Server oder sonstige Malware friedlich koexistieren, nützt mir daher nichts, weil die Existenz und Funktionstüchtigkeit dieser DTFW vom Wohlwollen der Malware abhängt.

Soviel zum Träumen.

Geschrieben von: xfaktor 28.04.2003, 23:40

Du weichst schlicht dem Thema aus. Du hast mal frei behauptet, ICMP ist eine feine Sache und kann nicht missbraucht werden. Diese These konnte ich Dir wiederlegen. Wir können jetzt gerne noch über Ping of Death oder andere Angriffstechniken sprechen, die Du als Netzprofi eigentlich kennen solltest. Anderenfalls wundere ich mich etwas über Deine Aussagen, die unerfahrene Anwender für bare Münze nehmen. Also solltest Du auch wissen, das grundsätzlich jedes Packet aus jeder Netzschicht manipulierbar ist, sei es durch simples Spoofing, Fragementierung oder direkter gezielter Manipulation des Packets jenseits des Headers. Den nämlich prüft so ein Firewallsystem nämlich und ist deshalb auch strunzdumm. Werden also incomming ECHO Requests direkt, weil deaktiviert, abgewehrt, setzt sich der Anwender erst gar nicht der Gefahr aus. War das jetzt verständlich?

Geschrieben von: IRON 29.04.2003, 00:05

Wo bitte weiche ich aus?

Nein. Habe ich nicht geschrieben. Ich schrieb, ICMP sei nicht böse.

Nein, du konntest sie nicht widerlegen, da ich sie gar nicht aufstellte.

Ja. Können wir. Sprich.

Nichts dagegen, dass du dich wunderst. Darf ich auch?

Ja, weiß ich. Und du solltest nicht vergessen, dass dann auch "im PC" etwas existieren muss, dass mit diesem manipulierten Paket etwas anfangen will.

Gewiss. Aber falsch. Denn zum einen verursacht das Droppen von Paketen durch die Firewall auf dem PC einen gewissen Ressourcenverbrauch, der schnell mal eben zu einem Pufferüberlauf führt und zum anderen verursacht das Droppen einen erhöhten Traffic, da die Gegenseite, nicht wissend, was mit den Paketen nun passiert ist, weitere sendet.
War das verständlich?

Geschrieben von: xfaktor 29.04.2003, 00:18

IRON sorry aber Du erzählst Unsinn und ich denke, Du kennst Outpost nicht.
Du hast maximal eine variable Zeitspanne, dann wirst Du als Intruder identifiziert, der gerade nen schicken DoS Angriff startet. Die nächste Stunde oder länger ist Deine IP dann komplett gesperrt und Du darfst pingen wie Du willst. Das Outpost selbst dann noch stabil bleibt, haben Penetration-Tests gezeigt. Nicht mal unter Laborbedingungen konnte das System selbst destabilisiert werden, auch wenn das GUI eingefroren schien.



Auch das ist Unsinn, lies Dir mal meine Antwort durch.
Was ein Firewall nicht merkt, verursacht keine Ressourcen und selbst wenn, was passiert dann wohl? Pufferüberlauf heisst nichts anderes, als das ein reservierter Speicherbereich überschrieben wird und das dann Code anderer Prozesse ebenfalls überschrieben wird, was schlußendlich zum Einfrieren oder Absturz des Rechners führt. Derjenige, der gerade auf Seite 998 seiner Doktorarbeit schreibt, wird sich ganz sicher darüber freuen, gelle

Ok, take over. Du wirst sicher eine Antwort finden, mit der Du Dein Gesicht retten möchtest. So eben, wie Du es immer machst. Tu es und heble mal die Physik des Netzes aus, weitere Antworten spare ich mir.

Geschrieben von: IRON 29.04.2003, 11:42

Ach?

Und du sagst mir, ich erzähle Unsinn?

Richtig...was eine (Desktop)Firewall nicht bemerkt...und da gibts ne Menge.

Muss ich gar nicht. Machst du schon.
Und leider bist du auf dein eigenes Angebot nicht eingegangen, über andere Angriffsmethoden einzugehen.
DoS war die einzige, die du erwähntest und auch da hast du leider ein paar wesentliche Details vergessen. Das mit der Doktorarbeit war allerdings gut, besonders, weil du dich damit selbst widerlegst.
Wenn deine Aussagen bzgl. Outpost alle korrekt wären, wieso wird die dann nicht weltweit zum Schutz von PCs verwendet? Nicht, dass ich Outpost nicht als besser als z.B. Tiny, Norton oder ZA empfände, aber es ändert trotzdem nichts daran, dass ICMP nicht böse ist.