Es herrscht in Foren (immer noch?) die Meinung, dass PF-Software für Privatanwender keinen Nutzen bringt. Dazu habe ich einige Fragen, zu denen ich gerne eure Meinung lesen würde (mit der Bitte darum, die - eigentlich zueinander in keinem inhaltlichen Bezug stehende - in PF-Software häufig anzutreffende Funktionalität des Unterbindens des Zugriffs auf das Internet laufender Anwendungen aus der Diskussion herauszuhalten und lediglich den Punkt "Paket-Filter" einer PF-SOftware zu diskutieren):

1. Die Hauptbehauptung der Gegner von PF-Software ist es, dass es für eine abgesicherte Internetverbindung ausreicht, nicht benötigte Services des Betriebssystems (im Falle von MS-Windows eher Betriebssoftware *hehe*) auszuschalten und damit die Angriffspunkte nach aussen hin zu unterbinden. Dies sehe ich auch so, doch ist es gerade bei Windows-System zB. nicht wirklich möglich, alle Ports nach aussen hin zu sperren (lasse mich gerne von etwas anderem belehren, solange dabei nicht die Rede von der in Windows XP integrierten Firewall ist, die ja genau das gleiche tut wie zB. Sygate - außer, dass sie in das OS integriert ist). Bei Angriffen wie den diversen RPC Exploits oder dem jetzt ganz neuen ASN.1 Bug würde das allerdings nicht weiterhelfen, da m.W. der RPC-Dienst (zumindest unter 2K/NT) nicht deaktivierbar ist und von daher grundsätzlich nach aussen hin sichtbar ist. Mit einer PF (Zonealarm zähle ich übrigens nicht dazu) wird das Risiko eines direkten(!) Angriffs von außen deutlich reduziert, da schon tief im IP-Stack Anfragen auf nicht freigegebene Ports blockiert werden (sollten, aber das ist eine andere Diskussion). IMNSHO wären einige der heftigsten Viren/Würmer der letzten 6 Monate (ja das wird immer schlimmer hehe) ziemlich wirkungslos verpufft, wenn mehr Anwender zumindest eine PF-Software einsetzen würden (Router oder externe FW-Kisten wären natürlich nochmal deutlich besser).

2. Es wird außerdem häufig angeführt, dass sich die Menge an Code, die Bugs aufweisen kann erhöht durch PF-Software. Das ist dann richtig, wenn man die zugrundeliegenden APIs nicht beachtet (bzw. beachten will). Die Menge an Code, die ausgeführt wird wenn ein aktiver RPC-Dienst auf Port 135 angetroffen wird und an diesen Port eine Anfrage gesendet wird ist deutlich höher als wenn eine PF tief im IP-Stack die Anfrage bemerkt und abblockt, bevor diese zum RPC-Dienst (übrigens einer der zentralsten und komplexesten Dienste in WinNT+, COM/DCOM/OLE/ActiveX geht alles über diesen Dienst) durchdringt. Ebenso müsste dann konsequenterweise von der Benutzung von Anti-Dialer-Software abgeraten werden etc. pp.

3. Wenn Punkt 1 und 2 als nicht geltend angesehen werden, begründet sich dies meist darauf, dass die Anwender einfach nur die betroffenen Dienste abschalten und die Sicherheitspatches rechtzeitig installieren müssen, um nicht denselben sondern einen besseren Schutzeffekt zu haben wie durch eine Firewall. Nun existiert der ASN.1-Bug schon seit geraumer Zeit, wurde zwar noch nie ausgenutzt aber war schon lange bekannt und es gab nie einen Patch von MS. Gleiches gilt für den RPC-Bug und nun, da die Source-Codes von weiten Teilen von NT und 2000 im Netz aufgetaucht sind steht zu befürchten dass es in naher Zukunft Exploits für Bugs geben wird, die bis dato noch nicht bekannt waren und schnell massive Verbreitung finden könnten. Spätestens an dem Punkt hilft dann IMHO eine PFW, oder nicht? (Email-Würmer und IE-nutzende DAU's zählen hier nicht, da hilft weder eine FW noch abschaltbare Dienste noch sonstwas ausser gesundem Menschenverstand).

Das ist eine ernstgemeinte Diskussionsanfrage ... freue mich auf eure Meinungen.

Gruß,
Micha

Guckst Du hier:
Link: http://www.trojaner-board.de/forum/u...495;p=2#000027

Das wird das Thema 'mal wieder diskutiert.

Gruß!
MTT

Hi Micha, bring das doch im besagtem Thread mal ein.
danke, Rudi

"Es herrscht in Foren (immer noch?) die Meinung, dass PF-Software für Privatanwender keinen Nutzen bringt."

Sag mal, ist das "keinen" in dem Satz nicht zu viel? [img]smile.gif[/img]


Tim

</font><blockquote>Zitat:</font><hr />Original erstellt von TimyT:

"Es herrscht in Foren (immer noch?) die Meinung, dass PF-Software für Privatanwender keinen Nutzen bringt."
</font>[/QUOTE]...dann solltest du einmal in ein forum schauen welches sich auch mit firewalls befasst. eines was mir dazu einfällt wäre bei firewallinfo.de

bye
tony

Tut man das hier nicht???

</font><blockquote>Zitat:</font><hr /> Sämtliche Diskussionen zu (Personal)Firewalls, Viren-/Trojanerscannern, Prozessviewern usw. sind hier On-Topic. </font>[/QUOTE]

</font><blockquote>Zitat:</font><hr />Original erstellt von Bo Derek:
Tut man das hier nicht???
</font>[/QUOTE]

natürlich,...sorry.

bye
tony

Übrigens: vor einiger Zeit habe ich in unserem Forum mal, ketzerisch wie ich bin, fast die selbe Frage wie micha_x gestellt. Das ist damals ganz schon ausgeufert:

http://www.rokop-security.de/board/i...wtopic=701&hl=

Personal Firewall Diskussionen sind IMHO grundsätzlich sehr schwierig. Entweder es gibt einen unsachlichen Schlagabtausch der Befürworter und Gegner á la "mein Handy ist stärker als Dein Faxgerät" oder es antwortet in solch einem Thread keiner, weil niemand Lust auf einen Schlagabtausch wie oben beschrieben mehr hat - das gab's einfach zuuuu oft.

hey bo,

ich hab an und für sich "die conversations" über firewalls längst aufgegeben...selbst verwende ich seit geraumer zeit auch eine firewall, jedoch eine gekaufte. also sag ich mal so, weil viele user auch freeware-firewalls verwenden, oder sich überhaupt mit kostenlosen freeware produkten in sachen SICHERHEIT den PC anmüllen.

die diskussion um/wegen einer firewall ist bestimmt endlos. ich bin sicher das ich wesentlich wenig ahnung von dem ganzen technischen "know how" habe, also fachgeplänkel-standart, irgendwo mal im netzt aufgeschnappt - klingt gut - na das posten wir mal wo so nach dem motto...jedoch fühle ich mich durch die firewall die ich bestimmt passend konfiguriert habe, ein bissl "sicherer". zuminderst ein bissl im privacy bereich. damit meine ich das man durchaus die kontrolle über sein system durch eine firewall besser regeln kann, erfahrungen sammeln kann, und auch lernt durch das dasein so einer software. eine firewall ist kein viren/trojnaer-scanner oder sonst dergleichen, was oft missverstanden wird.

Eine Firewall hat meinermeinung absolut eine Daseinsberechtigung.

byebye
tony

Okay, wenn für Dich eine PF eine absolute Daseinsberechtigung hat, dann lass uns das doch mal auf die Fragen des Themas münzen:

(Für alle Oberschlaumeier gilt: "Personal Firewall" und "Firewall" wird hier synonym verwendet, da es hier ohnehin eindeutig um "Personal Firewalls" geht. Also spart euch den dämlichen Kommentar...)

</font><blockquote>Zitat:</font><hr />1. Die Hauptbehauptung der Gegner von PF-Software ist es, dass es für eine abgesicherte Internetverbindung ausreicht, nicht benötigte Services des Betriebssystems (...) auszuschalten und damit die Angriffspunkte nach aussen hin zu unterbinden. (...) doch ist es gerade bei Windows-System zB. nicht wirklich möglich, alle Ports nach aussen hin zu sperren</font>[/QUOTE]Korrektur: das würde ich als falsch bezeichnen. Angriffspunkte werden nicht unterbunden, sondern die potentiellen Schwachstellen werden minimiert durch das Beenden von nicht benötigten Diensten. Auch werden auf diese Weise auch keine Ports gesperrt, sie sind lediglich nicht offen.

Die Rolle der Firewall: keine. Entweder es werden Dienste angeboten, dann sind Ports / ein Port offen oder es wird kein Dienst angeboten. Eine Firewall kann keine Ports schliessen, sie kann höchstens die Kommunikation des Dientes unterbinden. Dann kann man diesen aber auch gleich beenden. Das bietet den selben "Schutz" und sofern man alternativ eine Firewall einsetzt kommen die potentiellen Schwachstellen dieser hinzu, womit sich die Gesamtanzahl der möglichen Angriffspunkte des Systems nominal erhöhen.

</font><blockquote>Zitat:</font><hr />Windows XP integrierten Firewall ist, die ja genau das gleiche tut wie zB. Sygate - außer, dass sie in das OS integriert ist).</font>[/QUOTE]Korrektur: falsch. Die ICF ist ein Portfilter, der nur incoming traffic filtert. Firewalls wie z.B. die von Dir genannte Sygate filtern aber auch outgoing traffic, erlauben die Erstellung von Filterregeln, sind applikationsbasiert, haben meist einen MD5 Check etc.pp.

Die Rolle einer Firewall: auch in diesem Fall ist keine Notwendigkeit für den Einsatz einer PF zu sehen.

</font><blockquote>Zitat:</font><hr />Bei Angriffen wie den diversen RPC Exploits oder dem jetzt ganz neuen ASN.1 Bug würde das allerdings nicht weiterhelfen, da m.W. der RPC-Dienst (zumindest unter 2K/NT) nicht deaktivierbar ist und von daher grundsätzlich nach aussen hin sichtbar ist.</font>[/QUOTE]Korrektur: mir ist nicht klar, wie Du einen so tief greifenden Bug in ASN.1 mit einer PF stopfen willst.

Die Rolle einer Firewall: wie ich in dem von mir verlinkten Beitrag auf Rokop Security bereits geschrieben habe, ist in Fällen wie dem des RPC Exploits eine Firewall ein absolutes Plus für die Systemsicherheit eines Privat-PC! Tatsächlich wurde hier die Kommunikation über Port 135 bei vielen Usern dank einer PF unterbunden, bevor der Bugfix von MS herauskam. Auch ermöglichte es die intendierte Nutzung von RPC-abhängigen Diensten, die bei Einspielen des MS-Patches nicht mehr lauffähig waren.

</font><blockquote>Zitat:</font><hr />Mit einer PF (Zonealarm zähle ich übrigens nicht dazu) wird das Risiko eines direkten(!) Angriffs von außen deutlich reduziert, da schon tief im IP-Stack Anfragen auf nicht freigegebene Ports blockiert werden</font>[/QUOTE]Korrektur: Nicht freigegebene Ports müssen nicht blockiert werden, warum auch. Was hat der TCP/IP-Stack mit den Aktivitäten einer PF zu tun?

Fragen: warum ist für Dich ZA keine PF? Warum erwähnst Du explizit "direkte" Angriffe, gibt es auch indirekte?

</font><blockquote>Zitat:</font><hr />konsequenterweise von der Benutzung von Anti-Dialer-Software abgeraten werden etc. pp.</font>[/QUOTE]Korrektur: wie oben beschrieben, basiert die Behauptung, der Einsatz einer PF führe zu noch mehr Sicherheitslücken, sicher auf der Tatsache, dass sich viele Exploits durch das Abschalten des Dienstes verhindern lassen, den dieser nutzt. Schaltet man den Dienst nicht ab und setzt statt dessen eine PF ein, so kumuliert sich die Anzahl der möglichen Sicherheitslücken um die Anzahl der (potentiellen) Sicherheitslücken der eingesetzten PF. Bei Dialerschutzprogrammen verhält es sich ähnlich: man kann eine Sperre bei der Telekom beantragen oder sich eine Dialerschutzsoftware installieren. In jedem Fall ist die Sperre bei der Telekom die vernünftigere Variante. Allerdings könnte auch hier der Nutzer 0190er Nummern absichtlich wählen wollen (z.B. bei Preisausschreiben) und dann bietet sich eher die Schutzsoftware an. Einen Haken hat Dein Vergleich jedoch schon: da eine Firewall sozusagen an den Kommunikationskanälen des PC "sitzt", kann eine Sicherheitslücke dieser sehr weit reichende Konsequenzen haben, eine Dialerschutzsoftware aufgrund ihres eingeschränkten Funktionsradius jedoch weniger.

[QUOTE...Exploits für Bugs geben wird, die bis dato noch nicht bekannt waren und schnell massive Verbreitung finden könnten. Spätestens an dem Punkt hilft dann IMHO eine PFW, oder nicht? [/QUOTE]

Dem würde ich zustimmen. Der Einsatz einer PF könnte sinnvoll sein:

- um Exploits vorzubeugen, für die (noch) keine Patches existieren
- um das Risiko der Ausnutzung einer Sicherheitslücke "selektiv" zu begrenzen, wenn von diesem Dienst abhängige Funktionen benötigt werden und dieser nicht komplett abgeschaltet werden kann

Alles in allem setzt das aber eine einwandfreie Konfiguration der Firewall-Regeln voraus und ersetzt in keinem Fall das Beenden nicht benötigter Dienste.

Puh - das waren meine ersten Gedanken hierzu [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Bo Derek:
Okay, wenn für Dich eine PF eine absolute Daseinsberechtigung hat, dann lass uns das doch mal auf die Fragen des Themas münzen:
</font>[/QUOTE]verzeihung,...ich hab diese zitierten fragen/antworten aus deinem vorigen posting nicht gestellt, erwähnt...und es tut mir leid...ich korrigiere - für mich hat eine firewall eine absolute daseinsberechtigung, sonst würd ich kaum eine verwenden. ich bin leider wie aber schon erwähnt, auf diesem gebiet NICHT diskussionslustig.

jedoch machst du dir wirklich sehr viel mühe.

verwendest du eigentlich eine firewall?

besten gruss
tony

</font><blockquote>Zitat:</font><hr />Original erstellt von tony manero:
ich bin leider wie aber schon erwähnt, auf diesem gebiet NICHT diskussionslustig. </font>[/QUOTE]Schon okay, die Frage wurde ja nicht von Dir gestellt und es sind ja sicher auch noch andere Leute hier [img]smile.gif[/img]

verwendest du eigentlich eine firewall?[/QB][/QUOTE]

Nein, momentan würde mir kein Produkt einfallen, dass bei Bugtraq nicht negativ auffällt...

</font><blockquote>Zitat:</font><hr />Original erstellt von Bo Derek:

Nein, momentan würde mir kein Produkt einfallen, dass bei Bugtraq nicht negativ auffällt...
</font>[/QUOTE]danke für deine antwort,...wo kann man 'Bugtraq' finden...

tony

Bugtraq ist eigentlich schon ein geflügeltes Wort für eine Liste, eine Art Log, aller Fehler eines bestimmten Programms oder einer bestimmten Programmkategorie. Eine sehr bekannte, die zu unserem Thema passt, ist hier zu finden:

http://www.securityfocus.com/

danke, werd mal vorbeischauen..derzeit scheint die seite überlastet...

bye
tony