Die Wahrheit über Personal Firewalls

KarlKarl

Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router. Wenn man wüßte, wohin die Verbindung geht oder über welchen Port, dann könnte man sperren, aber wenn überhaupt, dann weiß man das erst, wenns bereits passiert ist. So gesehen wird das mit dem Router natürlich übertrieben. Er schützt davor, dass auf den Rechner vom Internet aus direkt zugegriffen werden kann. Also davor, dass Fehler in der Netzwerksoftware ausgenutzt werden können, um den Rechner überhaupt erst mal zu infizieren. Wenn alle Updates zeitnah installiert werden, spielt das eine recht kleine Rolle, im Falle eines 0-Day-Exploits könnte es relevant werden. Liegt er allerdings im Browser, in einem ActiveX, wo auch immer, dann nützt er auch nichts.

Ein weiterer Pluspunkt auf dem Router ist noch, dass man dort die Verbindungen kontrollieren kann. Auf dem Rechner können Techniken eingesetzt werden, dass sie isch innerhalb des Systems nicht ermitteln lassen, wenn sie durch den Router gehen, liegen sie offen. Das habe ich schon auprobiert: ein Backdoor in einer VM, eine weitere VM (Linux, netfilter) durch die der Traffic der ersten VM Richtung Internet durch muss. In der erstem VM ist höchstens mit Rootkitscannern was zu ermitteln, Netstat und Tcpview zeigen nichts. In der zweiten ist es offensichtlich, da kann ich den Traffic mitschneiden. Oder auf dem Hostsystem, auf dem die VMs laufen, ich bevorzuge aber eine zweite VM, weil ich mit netfilter wesentlich besser filtern kann, will ja keinen Spam versenden.

Diese Versuche dem bereits installierten Backdoor die Verbindung in die Heimat zu verwehren, taugen nichts, das ist die falsche Herangehensweise. Es kommt einzig darauf an, ihn garnicht erst zu installieren. Wenn das erstmal passiert ist, dann hat man verloren, weder Softfirewall, noch Hardfirewall noch Router ändern da was dran.

Gerade heute in einem anderen Forum erlebt: Ein Backdoorserver als ADS an das system32-Verzeichnis gehängt, ein unsichtbarer Browser läuft und Zonealarm merkt nichts.

Selbst wenn so eine Firewall was meldet und man dann auf "verweigern" klickt: Es gibt viele Techniken, an der Firewall vorbei zu kommen. Nur weil eine auffliegt, heißt das nicht, dass die nächste nicht umso besser funktionieren kann. Anwender ist glücklich "meine Firewall hat mich beschützt" während die Daten rausfließen. Bisherige Vergleichstest auf solche Techniken (Stichwirt Leaktests) hat noch keine Firewall komplett bestanden. Und es lassen sich sicher neue Techniken entwickeln.


Die Homecalls legitimer Programme: Da kann man erwarten, dass sie sich ausschalten lassen. Wie z.B. die Anfragen, ob es Updates gibt. Programme, die das denooch gegen den Weillen des Anwenders tun, gehören nicht auf den Rechner. Das schlimmste Homecall-Problem hatte ich mal mit Zonealarm (ich bekenne, dieses Programm auch mal genutzt zu haben). Irgendwann ist es mir dann aufgefallen, dass Zonealarm verschlüsselte Daten zu seinem Hersteller überträgt. In Zonelalarm also Zonealalarm das Internet verboten. Alert-Advisor (hieß irgendwie so ähnlich) getestet: Richtig, Zonealalarm teilt mir mit, dass es mir keine Informationen leifern kann, da ich ihm ja die Verbindung ins Internet verboten habe. Gleichzeitig sch....t das Programm auf die erteilten Regeln, denn im Hintergrund telefoniert es fleißig weiter. Ruhe gab es erst, nachdem ich diverse Adressen von Zonelabs in der Hosts-Datei auf 127.0.0.1 umgelenkt habe. Kurz danach ist der Mist vom Computer geflogen, das war dann das nächste Abenteuer.