xDSL.at

[Minos]

Von. : Minos
[email protected]

HB, 03/07/02




Leserbrief zum Thema Sicherheit durch Firewall im Internet (Sicherheitsrelevanter Irrglauben)

Leider neigen die meisten User dazu, durch Unwissenheit die Fähigkeiten einer Personal Firewall maßlos zu überschätzen, was meiner Meinung auch am Hersteller und seiner damit verbundenen Verkaufsstatistiken liegt. Hier wird im großen Umfang mit der nicht ganz berechtigten Angst der User gezockt, auch mit der Unterstützung einiger Computermagazine.
Generell gilt, dass eine Firewall nicht zwischen "harmloser" und "schädlicher" Datenkommunikation unterscheiden kann. Deshalb kann auch eine Firewall niemals vor Trojanern schützen, was fälschlicher Weise immer wieder behauptet wird. Wenn Trojanerschutz das einzige Kriterium zur Installation einer Firewall ist, dann reicht eine anständige Konfiguration von Windows aus. Wer kein Netzwerk betreibt und auch nicht vor hat irgendwelche Netzwerkdienste (Email-Server, Ftp-Server, etc.) anzubieten, braucht Windows eigentlich nur richtig zu konfigurieren und kann auf ein Personal Firewall verzichten. Wer nicht weiß wovor er sich schützen will oder muss braucht auch keine Firewall, da ohne ein Konzept die Inbetriebnahme ziemlich sinnlos ist. Wichtiger als ein Personal Firewall ist nach wie vor ein sehr guter Viren & Trojanscanner....

[Manuel Capellari]

toll

nur nix neues, das sag ich schon seit ... [siehe archiv des forums]

[Werner]

Volles Ack, nur erklär mal einen durchschnittlichen Windows User was er zu tun hat sein System abzudichten, die meisten die im Netz unterwegs sind denken noch immer M$ hat das INet erfunden und wenn Du ihnen mal erklärst was Spyware ist dann ingorieren sie Deine Argumente weil Techniker=Spinner. Ähnlich geht es leider mit der personal Firewall... Groß angepriesen muss ja toll sein. Vernünftige Argumente dagegen und ein paar Tatsachen was man wirklich machen sollte: Das kommt von einem Techniker = Spinner also wird ignoriert. Ähnlich gehts mir wenn ich den Leuten sage das Outlook Express in die Tonne zu treten und was anderes einzuseten. Naja was solls jeder ist seines Glückes Schmied.

[ycnUser]

>Firewall niemals vor Trojanern ...

naja, dass eine "normale" firewall nicht gegen trojaner schützt ist klar
und dass firewals nicht gegen viren schützen auch

aber zumindest kann man mit einer PersonalFirewall (z.B.: ZoneAlarm) nur seinen "vertrauenswürdigen" programmen zugang zum intra/inter-net erlauben

und das finde ich ist ein (sehr guten) schutz gegen "normale" trojaner
..

[Markus]

(z.B.: ZoneAlarm) !!!!!!!!!!!!!!!!!!!!!!!!!!!

ZoneAlarm ist nach wie vor nur ein Placebo, ich würde mir niemals einfallen lassen diesen auch nur im Traum auf meinem PC zu Installieren. Und was bitte schön sind normale Trojaner für dich.....Sicherheitsrelevanter Irrglauben wieder einmal bestätigt

[Manuel Capellari]

<HTML>>und das finde ich ist ein (sehr guten) schutz gegen "normale" trojaner
gibts leicht auch 'abnormale' ?

trojaner ala netbus etc. werden in der regel eh nur von script kiddies verwendet

es soll ja sogar leute geben die auf ihren NT oder win2k server personal firewalls installieren ... sowas ist pervers ...</HTML>

[ycnUser]

>Sicherheitsrelevanter Irrglauben wieder einmal bestätigt

kann sein (geb ich zu)

beispiel: ich kaufe mir ein kommerzielles produkt, und das erste was das macht, ist beim setup auf der hompage nachzuschauen ob es eine neue version gibt.... (port 80) (dazu schickt es dann ungefragt ein paar daten an den server und wartet auf ne antwort)

mit einer personal firewall läst sich dass effizient? verhindern

kanst du mir sagen wie DU/IHR[manuel/markus...] das machst ????
(ich hätte natürlich auch gerne ein so sicheres system wie du/ihr) ohne ZA....


----
normale tojaner: bauen eine verbindung zu einem server auf und schicken daten hin/ oder richten sich als server ein und warten bis jemand die daten abholt

"abnormale" trojaner: (weis nicht ob es welche gibt, aber ich würde es so machen): programme die andere programme (z.B: Internet explorer) dazu missbrauchen die daten zu verschicken...)

---

>ZoneAlarm ist nach wie vor nur ein Placebo,
es ist wissenschaftlich erwiesen dass placebos auch eine (eingeschränkte) heilende wirkung haben

[Manuel Capellari]

>ich kaufe mir ein kommerzielles produkt, und das erste was das macht, ist beim setup auf der hompage nachzuschauen ob es eine neue version gibt

hmmm, ich hätte schon gern dass die sachen die ich rechtmässig erworben habe auf aktuellem stand sind (zumindest bei der installation)

schonmal pcanywhere (ich glaub version 10.0 wars) auf windows 2000 installiert? wennst da kein autoupdate machst, viel spass

>kanst du mir sagen wie DU/IHR[manuel/markus...] das machst ????
linux +squid +iptables + a paar kernel einstellungen ...

[ycnUser]

wie schon gesagt, das schützt dich IMHO nicht davor dass jemand über z.B: port 80 beliebige daten (passwörter...) an einen server schickt...!?

[Manuel Capellari]

wieso sollte es nicht? dazu gibts einen proxy der alle anfragen die am entsprechenden port rausgehen abfängt auswertet und dann entscheidet ob er das paket verwirft oder durch lässt ...

du kennst das grundprinzip einer firewall? grundsätzlich alles zu verbieten bis auf das was man explizit erlaubt und die sachen was man durch lässt laufen optimalerweise über einen application proxy

[ycnUser]

ich find das nur etwas praxisfremd

vorallem in (größeren) firmen die mehrer "kreative" mitarbeiter haben(so wie mich), die dann jedesmal zum Web/systems...-admin laufen müssen wenn sie auf einen website wollen die er noch nicht freigeschalten hat...
(vorallem lassen sich solche leute nicht gerne vom (Web/System)admin vorschreiben wass sie nun dürfen und was nicht ...

[Manuel Capellari]

>ich find das nur etwas praxisfremd
hä? -> lies mal ein buch zum thema firewalls, sicherheitsstrategien und ähnlichem ...

>(vorallem lassen sich solche leute nicht gerne vom (Web/System)admin
>vorschreiben wass sie nun dürfen und was nicht ...
und genau solche user sind es, die das netzwerk gefährden

wenn eine firma ein sicherheitskonzept ausgearbeitet hat, wird man es ned für ein oder zwei mitarbeiter die gern icq oder sonst was hätten verwerfen ...

solche aktionen gefährden ned nur (d)einen einzigen rechner sondern das ganze netzwerk bzw. dessen infrastruktur ...

klingt fast so als wäre bei euch in der firma die sicherheit der rechner ausschliesslich von personal firewalls abhängig ...

[alpen]

habe das norton 2002 packet.
und das meldet ständig was!
und ich lass auch nicht alles durch.
einen bildschirmschoner sicher nicht!!
und es gibt ja noch die leute mit sicherheitskopien!
die stehen auch auf firewalls!
und automatisch registrien nie doch!!!
troyaner versucht auf internet zuzugreifen ist auch
öfter!!!
online banking wäre der tot ohne!!
gegen profis kannst als normaler user eh nix machen,
wenns gericom,und andere grosse firmen auch nicht schaffen!!
aber 5 jährige kannst wenigstens noch raushalten!!
aber die meisten geben dann eh ein shareprog,oder spiele oder anderen nonsens frei,und dann hast dir die scheizze selber geladen.
da hilft dann auch keine firewall mehr was

[DAU]

Alle Desktopfirewalls ala ZA und Norton sind Schrott und nutzlos. Ein DNS oder HTTP Request wird von keiner dieser Pseudo FWs aufgehalten.
Das Einzige was nutzt sind NAT Router, Linux Router mit gut konfigurierten IP Chains/IP Tables.
Wenn eine Anwendung Daten ins INet senden will und sie von einem Menschen älter als 3 Jahre erstell wurde bedient sich diese eines HTTP Requests --> Gute Nacht Firewalls, das geht unbemerkt raus, da sich diese Anwendungen als IE tarnen können, oder den IE zum Senden benutzen können.
Ich hatte auch mal eine Desktopfirewall, ca. 100 Fensterchen pro Tag welcher Sub Seven da nicht zugreifen wollte. Das war nur irgendein Kind das mit seinem Portscanner gespielt hat. Da wurdes mir dann zuviel. Weg mit den FWs und her mit einem NAT Router. Ein paar Regeln erstellt (blocken sogar DNS Requests, ausser sie gehen an "meinen" DNS) und ich hatte Ruhe von zigtausend Warnungen welcher h4x0r nicht grade mein System ruinieren wolle.
Sollte ein Trojaner von aussen irgendwas von einem PC in meinem Netz wollen so is sowieso am Router Schluss, will ein Trojaner raus, so ist ebenfalls im Router Ende. Ausserdem blockt er zuverlässig alles ab was ich nicht ausdrücklich erlaube.
Viel gefährlicher als ein "direkter" Angriff ala Trojaner oder sonst was sind "indirekte" über Dienst. z.B. IIS Server mit Pufferüberläufen usw.
Manche Firewalls behinhalten sogar noch Spyware, da ists sicherer ohne FW.

mfg
DAU