Sinn von Personal Firewalls? Einstellungen

[Rokop]

Hallo Eva, laß Dich nicht verrückt machen. An dem Thema scheiden sich nun mal die Geister. Außerdem wird dabei auch viel aneinander vorbei geredet. Fakt ist nun mal, daß jede Software - und somit auch PFW`s - überlistet werden können. Wobei es nur ein schwacher Trost ist, daß sehr viel Malware recht schlampig programmiert ist

[Gast_eva-regine_*]

Hallo Roman,

danke für deine Antwort. Dann scheine ich ja gar nicht so verkehrt zu liegen, das ich so verfahre.

Liebe Grüße

eva

[Gast_Bo Derek_*]

-einmal pro Woche microsoft-update besuchen werde
-Netzwerk sicher machen ( hat ein Freund erledigt  )
-mit Mozilla surfen und mailen
-mails unbekannter Absender ungesehen löschen / keine Dateianhänge anklicke
-filesharing benutze ich nicht, ich zahle für meine Musik
-Antivirenprogramm regelmässig updaten lasse

(...)

Falls ich total daneben liegen sollte, bitte ich um korrektur.

Ach was. Lass Dich durch diesen Beitrag nicht verwirren.

Hier geht es eben nicht um die Frage, ob jeder User eine Firewall zu seinem Sicherheitsglück benötigt. Stein des Anstosses waren eher die Aussagen von Personal Firewall Gegnern, die oftmals diesen Programmen jeglichen Nutzen absprechen.

Ich habe ein Beispiel gebracht, in dem eine Firewall durchaus Sinn macht und auch andere wurden genannt. Nachteile würden ebenfalls genannt und beide Argumentationsseiten haben durchaus ihre Berechtigung. Wichtig war nur, dass eben differenziert argumentiert wird und nicht einfach rigoros "ist doof, braucht kein Mensch" gesagt wird.

So wie Du Dein System wartest und offensichtlich nutzt, benötigst Du wohl nicht unbedingt eine Firewall.

[Gast_eva-regine_*]

Hallo,

jetzt habe ich es offenbar geschnallt! lol Sorry, eure Diskussion war "akademischer" Natur...

Liebe Grüße

eva

[Heike]

Fakt ist nun mal, daß jede Software - und somit auch PFW`s - überlistet werden können.

Nun sind wir bei dem Wort "überlisten".
Also, ich rede jetzt nicht von den Kill-Funktionen.
Ich hatte ja mal einen Assasin-Server erwähnt, auch die damals und vielleicht auch jetzt wieder installierte NAV-2001-FW ist durchaus in der Lage, diese Verbindungen aufzuzeichnen. Der User einer FW sollte vielleicht auch mal in die Protokolle sehen, ob da ungewöhnliche Dinge vorhanden sind.
Der Wert dieser Protokolle wird von den 100%igen Gegnern sicher unterschätzt.

eva-regine,
laß Dich nicht verrückt machen.
Ich nutze sogar noch den IE und habe lange Zeit Outlook Express benutzt, ich hatte auch keine Probleme.

-mails unbekannter Absender ungesehen löschen / keine Dateianhänge anklicke

Du bist Dir aber darüber klar, das auch von einem bekannten Absender eine Viren-verseuchte Mail ankommen kann? Wenn er unvorsichtig war, ist es nicht ungewöhnlich.
Also, grundsätzlich eine gute Portition Mißtrauen bei Anlagen an Mails ist immer besser. Und wenn man mal ausführbare Dateianlagen austauschen will, sollte man sie einfach vorher ankündigen.

[Gast_Bo Derek_*]

Nur um noch mal zu verdeutlichen. Ein Firewall nimmt nicht ungefragt einfach irgendwelche Files an, nur weil sie einer Namenskonvention entsprechen:

Angehängte Datei(en)

 tiny.gif ( 7.05KB ) Anzahl der Downloads: 12

 

[Gast_eva-regine_*]

Hallo Heike,

dass Würmer die Absenderadressen fälschen, ist mir bekannt ( Sobig.f zum Beispiel ). Wenn ich ausführbare emails austausche, spreche ich vorher die Daten ab ( Datum, Name, Größe... usw ). Zusätzlich lasse ich sie durch Kav prüfen.

Liebe Grüße

eva

[Gast_IRON_*]

Muss doch noch mal nachhaken, auch wenn das Fazit dasselbe bleiben sollte...

...allerdings sind imho nicht die 'Unzulänglichkeiten' des durchschnittlichen Users Gegenstand dieses Threads, sondern ausschließlich der _mögliche_ Nutzen/Sinn von PFWs.

Mal ganz ketzerisch:
Dann kann man auch sagen, dass gehäkelte Klopapierbehälter im Fond deines Autos dich _möglicherweise_ vor einer bösen Prellung schützen können.

Man kann doch bei einer Diskussion um den Nutzen von DTFWs nicht die Realität außen vor lassen.
Möglichkeit !=Wahrscheinlichkeit

Wie wahrscheinlich es ist, dass eine nennenswerte Menge von Usern zuverlässig durch eine DTFW geschützt wird, sieht man doch in jedem PC-Forum. Formulierungen wie "Trotz Firewall habe ich mir dieses und jenes eingefangen" oder "Nach der Firewallinstallation geht das Internet nicht mehr." usw. sind an der Tagesordnung. Die User lesen was von geblocktem Trojaner und formatieren die HD, Regeln werden nicht verstanden und allem und jedem wird die Verbindungsaufnahme erlaubt, weil die Nachfragen nerven...die Liste lässt sich beliebig fortsetzen und das weißt du auch.

Nach wie vor ist es doch so: SINNVOLL einsetzen kann man so ein Ding nur, wenn man es versteht. Wenn man es versteht, kann man auch darauf verzichten, solange begleitende Vorsichtsmaßnahmen verstärkt werden.

[Gast_skep_*]

Ich hab kein Bock, jedesmal bevor ich eine mir unbekannte Software installiere...

Kein Bock??? Tja DAS ist doch mal ein vernünftiges Argument. DAS versteh ich

Das Nullbock-Argument hatte ich aber auch begründet. Diese Sache mit den vielen "Experten"...du verstehst

Egal...ob mit oder ohne FW, ich könnte meine FW sicherlich auch in die Tonne hauen, wenn ich wollte. Ich könnte sie aber auch drauflassen...macht eh kein Unterschied.

[Gast_IRON_*]

Doch den macht es. Ohne DTFW verhält sich der TCP-Stack deines Systems standardkonform und du hast keinerlei Veranlassung zu der Befürchtung, die DTFW könnte womöglich einen Fehler enthalten, der dein System erst recht angreifbar macht.

[wizard]

Ich könnte sie aber auch drauflassen...macht eh kein Unterschied.

Nur, dass Du eine weitere Quelle Deinem Rechner hinzufügst, die ihn "angreifbar" macht. Sowas wie dies hier beispielsweise aus der letzten Woche:

12. ZoneAlarm Random UDP Flood Denial Of Service Vulnerability
BugTraq ID: 8525
Remote: Yes
Date Published: Sep 02 2003

wizard

[Gast_skep_*]

Da ich ersten nicht ZA habe und zweitens fast täglich diverse Seiten besuche (wo sowas dann steht) und ich dann entsprechend reagiere, ist das für mich kein Argument.

[Gast_Nautilus_*]

Habt jemand dieses Tool schon getestet? Forge?
_______________________________
"Bypassing software firewalls
Attachments:

mbtest.zip
mbtest.zip, 35081 bytes


Attached is a program I wrote (source included) to test the susceptibility of software firewalls to bypass via low-level packet injection / capture. I think most stuff is explained in the readme but here's an overview:

Two instances of the program (i.e. two computers) are required - a 'sender' and 'receiver'. The sender sends eight different packets and the receiver replies to those that make it through.


The program is coded against WinPCap, which is basically a dynamically loadable kernel driver and accompanying set of libraries that allow low-level capture and injection of traffic (see here for the details).


This does not mean that malware based on this technique would require that you have WinPCap installed. Only two files from the distribution are necessary; appropriate versions of packet.dll and npf.sys. The malware would need only copy them to the relevant directories before being able to operate - no reboot is necessary. Therefore the only requirement of such malware would be that it was run as a privileged user (i.e. no more than most other malware).


Some firewalls (Norton Personal Firewall 2003, Conseal PC Firewall) 'pick up' traffic too far along the NIC -> application path to be able to even see injected (outbound) traffic or to block captured (inbound) traffic (category 1 in the readme). They can easily be entirely bypassed via this technique in both directions (see the readme).


Some firewalls (ZA Free 3.7.159, Kerio 2.1.5, Outpost Pro 2.0.225, Look 'N' Stop) are able to 'pick up' the traffic but can't associate it with the program and can be bypassed due to some fixed rule or other deficiency (like not filtering fragmented traffic, etc). (category 2 in the readme).


Only one firewall tested (Sygate Personal v5.0) deals with this issue in a completely acceptable way (category 3 in the readme). It recognises the kernel driver as the source of injected traffic and lets you decide whether to block it or not.

The firewalls mentioned are just those that I and others have tested. Where a version number is missing it means I didn't personally test it and don't know which version was used.

I was surprised at the results. I started off with the assumption that most, if not all, firewalls would fall into category 2 and didn't expect that so many would have filtering deficiencies. A trojan based on this technique (which is entirely plausible) could slip traffic out past almost all software firewalls and, in most cases, a trojan server could operate without detection.

Any comments, questions, test results, etc, would all be gladly received.
"
........................


Quelle: DSL Broadband Forum ( http://www.dslreports.com/forum/remark,732...de=flat;start=0 )


Gruss,
Nautilus

[Gast_IRON_*]

Da ich ersten nicht ZA habe und zweitens fast täglich diverse Seiten besuche (wo sowas dann steht) und ich dann entsprechend reagiere, ist das für mich kein Argument.

Du hast das Argument nur nicht verstanden.
Das Problem existiert für jede DTFW. Wie reagierst du, wenn du erfährst, dass deine DTFW durch diesen oder jenen Bug ausgehebelt werden kann? Updaten? Schon bemerkt, dass das Finden solcher Bugs kein Ende nimmt und die Finder und Nutzer dieser Bugs stets jenen, die das fixen müssen und jenen, die die DTFW ungefixt benutzen (weil sie von dem Problem nicht gehört haben), mehrere Schritte voraus sind?

[Gast_Bo Derek_*]

Na dieses Argument existiert ja für jede Software. Allerdings muss ich nochmal ein Szenario an die Wand malen:

Ich benutzte Kerio 2.x und Windows 2000. Was ist wahrscheinlicher: dass ich mir den Blaster Wurm einfange oder dass ich Opfer einer DDOS Attacke werde?

Antwort: nichts von beiden. Durch die Firewall besteht keine Möglichkeit mehr, dass ich mir den Wurm blaster einfange, wohl aber die Möglichkeit der DDOS Attacke. Das Auftreten dieser ist aber derart unwahrscheinlich, dass ich in diesem Fall von einem Sicherheitsgewinn ausgehen kann.

Dass Software Fehler beinhaltet, ist ein wesentlicher Bestandteil dieser Kategorie und deshalb auch kein Totschlagargument gegen Firewalls.

[forge77]

@Nautilus

Nein, ich habe das Tool hier zwar schon längere Zeit 'rumliegen', aber ausprobiert hab ich es noch nicht.
Es scheint mir im Grunde auch nix neues zu sein, denn schon "Outbound" hatte vor ein paar Jahren mit Hilfe von 'WinPcap' PFWs getunnelt. Darauf hatten die meisten Hersteller aber reagiert, was neben den Outbaound-Autoren auch diverse Leaktest-Vergleichstests von PFWs bestätigten.
Dass die Filterung von WinPcap-Paketen bei eingien PFW trotzdem nicht richtig funktioniert (vgl. mbtest.zip), ist natürlich etwas ernüchternd... andererseits bestätigt das Tool, dass man auf diesem Wege (genauso wie z.B. via RawSockets) die meisten PFWs eben _nicht_ einfach tunneln kann.

Man kann das ganze übrigens auch einfach mit z.B. nmap testen, welches ja ebenfalls auf WinPcap zurückgreifen kann.
Bei Kerio2 ist es dann so, wie vom mbtest-Autor geschrieben: die Paket-Prozess-Zuordnung funktioniert zwar nicht, die Pakete werden aber trotzdem ggf. geblockt.

@Bo

Durch die Firewall besteht keine Möglichkeit mehr, dass ich mir den Wurm blaster einfange, wohl aber die Möglichkeit der DDOS Attacke.

Was für eine DDOS-Attacke meinst du? Eine direkt gegen Kerio (Quelle?)?

Der Beitrag wurde von forge77 bearbeitet: 11.09.2003, 15:43

[Gast_Bo Derek_*]

http://cert.uni-stuttgart.de/archive/bugtr...8/msg00365.html

Den Link hatte wizard mal gepostet.

[forge77]

Danke.
Schon ein bißchen älter... ob es inzwischen gefixt wurde?

@IRON

Dann kann man auch sagen, dass gehäkelte Klopapierbehälter im Fond deines Autos dich _möglicherweise_ vor einer bösen Prellung schützen können.

Woher kennst du mein Auto?!

Man kann doch bei einer Diskussion um den Nutzen von DTFWs nicht die Realität außen vor lassen.

Sag ich doch...
Nur ging es hier imho nie darum, eine abschließende, allgemeingültige Empfehlung an _alle_ User dieser Welt zum Thema PFW auszusprechen (was ja nunmal kaum möglich ist), sondern nur darum, die technischen Möglichkeiten von PFWs in einer _realen_ Umgebung abzuschätzen. Siehe dazu auch Bo's Aussage:

Hier geht es eben nicht um die Frage, ob jeder User eine Firewall zu seinem Sicherheitsglück benötigt. Stein des Anstosses waren eher die Aussagen von Personal Firewall Gegnern, die oftmals diesen Programmen jeglichen Nutzen absprechen.

[Gast_IRON_*]

Dass Software Fehler beinhaltet, ist ein wesentlicher Bestandteil dieser Kategorie und deshalb auch kein Totschlagargument gegen Firewalls.

Wieso nicht? Von einem Malprogramm, das mir regelmäßig mein Betriebssystem ins Schleudern bringt, verabschiede ich mich auch, obwohl ich von DIESEM Programm nicht erhoffe, dass es mich vor Gefahren aus dem Internet schützt. Bei einer Desktopfirewall, die mir mein System nicht abschießt, aber womöglich trotzdem versagt, soll ich das tolerieren? Nö...also wirklich...

Der Beitrag wurde von IRON bearbeitet: 11.09.2003, 16:04

[Gast_Bo Derek_*]

Nochmal kurz zusammengefasst:

1. Fehler können in jeder Software auftreten. Ich diskutiere deshalb hier nicht, ob eine Firewall eine unmögliche Perfektion von 100% bietet. Das ist schlichtweg unmöglich und deshalb kann es auch nicht Gegenstand der Diskussion sein.

2. Ich habe ein Szenario beschrieben, in dem die Firewall trotz Fehler ein plus an Sicherheit bietet (für Schmaldenker: "ein plus" muss nicht gleich 100% sein - das ist logisch und das kapiert man auch... sofern man das will)