Sinn und Unsinn von DW Einstellungen

[Internetfan1971]

Hallo!

Es freut mich wieder hier dabei zu sein!

Ich möchte hier zum Start ein altes Thema neu aufleben lassen: Sinn und Unsinn von. Desktop-Firewalls.

Ich bin vor einigen Tagen wieder auf das Thema durch die Web-Site http://www.tecchannel.de/ gestoßen.

Dort wurden sechs Desktop-Firewalls getestet.

http://www.tecchannel.de/software/405/index.html

tecChannel gibt den Kritikern durchaus bedingt recht DF zu kritisieren, ist aber nicht der Meinung DF wären schlicht überflüssig.

Argumente, die durchaus gegen eine DW sprechen (können)

- Allzu leicht seien solche Desktoptools zu umgehen, da sie mit statischen Filterfunktionen arbeiten

- So könnten sich problemlos Trojaner bei der Verbindungsaufnahme nach außen als Nutzprogramme ausgeben oder ihren Datenverkehr über erlaubte Verbindungen tunneln

Gegenargumente

- Zum einen verfügen nicht alle potenziellen Angreifer über tiefschürfende Protokollkenntnisse und ausgefeiltes Werkzeug - Stichwort: Script Kiddies

- Zum anderen bieten heute auch desktopbasierte Schutzprogramme ein beachtliches Repertoire an Abwehrmöglichkeiten. So finden sich im Testfeld sowohl Applikationen, die Angriffe portunabhängig durch ständige Verkehrsanalyse entlarven, als auch zwei Tools, die über MD5-Prüfsummen die Authentizität zugreifender Programme abklären

Die (Gegen)-Argumente habe ich einfach mal so übernommen. Sie können ja auch auf beiden Seiten ergänzt oder ja vielleicht auch widerlegt werden?

[wizard]

OK, dann möchte ich die Diskussion noch mal richtig entfachen.

Schön. Ich finde diese Thema wird in letzter Zeit einfach zu wenig diskutiert.

Von diesen Zahlen ausgehend, würde ich mal meinen, daß eine wirksame Access Kontrolle, wie sie einige Firewalls schon ansatzweise bieten,  gar nicht mal so unpraktisch sein sollte.

Dieses Argument kommt immer wieder ("Es gibt keiner/wenige Trojaner, die eine PF umgehen, daher ist eine PF doch nicht so schlecht. Doch leider verliert man bei solchen Zahlenspielen das Gesamtbild aus den Augen:

Nehmen wir folgende Scenarien an:

1) User startet *.exe Datei. Datei ist mit einem Virus infiziert. Nach recht kurzer Zeit ist das gesamte System infiziert und wichtige Daten/Dateien beschädigt. Eine PF kann da nichts ausrichten. Und zahlenmäßig sind Viren immer nocht Trojanern überlegen.

2) User startet *.exe Datei. Danach wird die Festplatte formatiert. Auch hier bietet eine PF keinen Schutz, denn destruktive Malware (Trojaner) ist IMHO Backdoor-Trojanern immer noch zahlenmäßig überlegen. Ich meine das Verhältnis ist 70% Trojaner/30% Backdoors, wenn ich mich recht entsinne.

3) User startet *.exe Datei. Datei ist ein Wurm, der auf dem Rechner nach persönlichen Dokumenten sucht und diese dann per EMail an an die Kontakte im Adressbuch verschickt. Und was tut eine PF hier? Wiederum nichts. Die Infektionszahlen solcher Würmer übersteigen bei weitem den realen Zahlen von Backdoor-Trojanern.

Das sind nur drei Beispiele für Malwareszenarien gegen die eine PF nichts ausrichten kann. Nur mal in Relation zum Zahlenbeispiel. Daraus ergibt sich relativ eindeutig, dass eine Infektion immer mit einer ausführbaren Datei anfängt, die der User starten muß. Genauso wie bei Backdoor-Trojaner. Somit kann der einzig wirkliche Schutzansatz nur sein genau zu prüfen (und zu hinterfragen) auf was man eigentlich klickt - und nicht eine fragwürdige Software (die werbewirksam als Firewall bezeichnet wird), die nur ab und an mal eventuell unter Umständen einen Backdoor-Trojaner stoppt. Den wiederum der User selbst erkennen muß (Stichwort "ist iexplorer.exe" ein Trojaner?)

Und noch ein Punkt zu den Zahlenspielen: IMHO kann man fast 100% der Trojaner, die angeblich von eine Personal Firewall geblockt werden, dadurch unschädlichen machen, dass man die Boardmittel von Windows verwendet, sprich eingeschränkte Benutzeraccounts.

Es gibt ja schon einige Ansätze, tunnelnde Trojaner zu entlarven.

Gegen "tunneln" von Firewalls gibt es keinen wirklichen Schutz.

Denn nur weil er offen ist, sind sie ja lange noch nicht drin. Und die Gefahr von einem "professionellen Hacker" gehackt zu werden ist ziemlich gering.

Und mit regelmäßigen Windowsupdates wird die Gefahr noch geringer.

Laßt uns doch mal darüber reden, welche Möglichkeiten es gibt, eine Firewall zu tunneln und welche Anwendungen wir bereits kennen, die dies bereits erfolgreich schaffen.

Der einfachste Weg eine Firewall zu tunnel ist übrigens eine EMail zu verschicken. Fakt ist, dass PFs gegen Malware nichts ausrichten kann, da eine "Infektion" nicht verhindert wird. D. h. die Malware kann alles machen: Firewall abstellen, Ruleset ändern, andere Applikationen benutzen, Knöpfe drücken , etc.

Im Klartext: Das eine PF wirklich vor Malware schützen könnte ist pure Illusion.

wizard