Die Nacht ist lange.

Full ACK zu _m3 (wobei ich seine Meinung über IDS überhaupt nicht Teile (SCNR)).

Zur zitierten FAQ:

1. Eine FAQ ist keine Bibel, sondern die Summe der
Antworten die man bekommt.
2. Die FAQ entstand 2000 als Win98/Me (root at all) usus
war, was leicht übersehen wird es enstanden zur gleichen
Zeit in der gleichen NG 2 weitere FAQs (Traenker u. ZA).
3. In den damaligen Diskussionen wurde festgestellt das
die Filter der PFWs sehr gut sind (Eckenfels),
kein Tuxler(Tm) würde ip/chains/filter, nicht benützen.
Die Crux war, per se unsicher= closed Source und root at
all(fällt mit W2k/XP weg).
4. Zur damaligen Zeit wurde das erstemal im professionellen
Bereich von Distributed FWs gesprochen, das eigentlich
das Konzept der PFWs ist, löste nur Kopfschütteln
aus (Packetfilter gehört auf eine dezitierte Maschine).
5. Ja ich war dabei(und viele Österreicher habe ich damals
in de comp.security.(später firewalls u. misc) nicht
gesehen.

Fazit: Lasst jeden, sein iptables/Zonealarm, solange er schreit "Hilfe ich werde gehackt" wird er sich auch damit beschäftigen( etwas mehr im Vorfeld wäre Wünschenswert).

just my 0.02€ nach langer Nacht

g17

Ps.: Zur Zeit der FAQ hatte eine SuSE Standardinstallation 15(in Worten "fünfzehn")offene Ports, und welche läßt mich heute noch Schaudern.

na den DAU zeig mir, der nicht mit admin rechten einsteigt

(ohne admin rechte geht ja auch so ziemlich gar nix in win - nedamal die Uhr/Kalender kannst da anschaun...

Mein Motto: nutzt's nix, schad's nix. Firewalls und Antiviren-Programme tun niemandem weh, also: installieren. Besser zusätzliche Sicherheitspolster und mit Kanonen auf Spatzen schießen, als den Rechner alle Schießlang neu aufsetzten und Spinner den eigenen Computer quasi mitbenutzen lassen. Je dichter das Netz, je mehr Hürden zwischen innen und aussen, desto besser.

Andreas

sicher schad's:

system verlangsamt und zugemüllt - führt v.a. bei Norton Produkten zu Auszuckern bei usern - brauchst hier nur im forum suchen :P

Es system wird schon genug durch virenschutz, spamschutz, popupblocker, adschutz usw. eingebremst da brauch ich doch nicht noch eine pw. Kein wunder dass man heute 2ghz cpus braucht um einen brief zu schreiben.

Ja, du vielleicht. Aber viele (der Großteil?) der Benutzer verwendet nun mal die Betriebssysteme aus dem Hause Microsoft. Deswegen ist es durchaus sinnvoll, die XP FW per default zu aktivieren, um auch diese Benutzer zu schützen.

Dieser Artikel ist meine subjektive Meinung, die sich aus meiner Erfahrung heraus gebildet hat. Er bezieht sich nur auf Windows Firewall Programme die auf Arbeitsrechnern installiert werden, um gegen das Internet "abgesichert" zu sein. Er richtet sich ausrücklich NICHT gegen Firewall Lösungen auf eigens dafür eingerichteten Rechnern bzw. Routern.

Früher hatte ich immer empfohlen, eine "personal firewall" (PF) wie zB. ZoneAlarm zu installieren. Mittlerweile bin ich davon abgekommen.

Warum? - Fragwürdige Funktionalität.

Um den eigentlichen Unsinn einer "personal firewall" zu durchleuchten, ist es nötig, die einzelnen Teile, die eine handelsübliche (Windows) Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.

"application control"-Funktionalität
Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation läuft, überwachen zu können, ist gelinde gesagt einfach unsinnig. Es ist gezeigt worden, dass eine personal firewall durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Käufer dieser PF gerne glauben lassen möchte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage für einen Paketfilter unbrauchbar werden läßt (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software läuft unter denselben Rechten. Eine personal firewall genauso wie das trojanische Pferd. Im Zweifelsfall beendet die "böse Software" die "personal firewall" einfach. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfällig. Der einzig effektive Weg, sich gegen bösartige Software zu schützen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.

IDS-Funktionalität
Unter IDS versteht man ein "intrusion detection tool", sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reißerischen Meldung honoriert werden: "hack attack auf Port xxx blocked!" - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen können, derart zu umschreiben. Ich persönlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall hätte etwas getan, was ansonsten enormen Schaden angerichtet hätte. Dem ist aber nicht so. Keine Dienste = keine Angriffsfläche. IDS-Systeme sind für richtige Firewallsysteme interessant, aber nicht für Privatanwender, die üblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die "Attacken" auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine "personal firewall" jemals könnte. Letzteres bezieht sich wie oben schon erwähnt, explizit auf die Windows Personal Firewalls. Eine gut konfigurierte Paketfilterfirewall auf einem Router stellt natürlich einen wirksamen Schutz dar.

Paketfilterfunktionalität
Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusätzliche Angriffsfläche bietet. Soll heißen: Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (Ein Erfahrungswert). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalität bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt übrigens noch einen weiteren Nachteil in Sachen Paketfilter: Die derzeit erhältlichen "personal firewalls" können kein "stateful filtering", soll heissen, aktive Protokolle á la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird nämlich zum Server und bindet einen temporären Dienst auf einem der High Ports (also größer 1023), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die "personal firewall" nun wissen, dass sie für genau diese Anwendung genau diesen Port, und auch nur für dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.

Was aber kann eine "personal firewall"?

* Eine "personal firewall" kann einen falsch konfigurierten Rechner für PortScanner "unsichtbar" machen.
* Sie kann bestimmte Programme (aber bei weitem nicht alle!) davon abhalten "nach Haue zu telefonieren", bei manchen "personal firewalls" kann man auch Programmen bestimmte Ports verbieten was sinnvoll sein kann.
* Man sieht ungefähr was verbindungsmäßig los ist.

Das ist alles und das ist nicht viel.

Mein Resümee: Die Vorteile einer PS erfüllen meist schon Freeware Programme. Geld in eine solche Lösung zu investieren lohnt sich meiner bescheidenen Meinung nach nicht. Da ist es schon besser, das Geld in einen Hardware Router mit Firewall Funktionalität zu stecken, oder überhaupt eine Hardware Firewall anzuschaffen. Für Schüler und Studenten ohne Geld aber mit viel Zeit lohnt es sich einen alten Rechner in einen Linux Router mit Paketfilter Firewall umzubauen. Anleitungen dafür zB.: unter http://www.fli4l.de

Zitat meines Artikels auf www.downhillschrott.com

hat auch niemand gesagt, dass man Geld dafür investieren sollte (ZA)!
finde auch die Aussage "falsch konfiguriertes System" nicht richtig - es geht darum, dass die Systeme nicht konfiguriert sind! Der normale DAU bekommt ein vorinstalliertes Windows, dass halt grad mal so läuft und ist glücklich damit - selbst wenn er wirklich brav sein System immer updatet, ist es nicht meistens so, dass es schon Viren und Würmer gibt, die eine bestimmte Sicherheitslücke umgehen und erst DANACH bring MS einen Patch raus (der vielleicht nicht gleich bei der ersten Version funktioniert?) Mit ZA hat Blaster, Lovesan und wie diese Art noch heissen mag keine Chance - ohne dass ich viel konfigurieren muss, damit hätte ich schon 60-70% der momentan am häufigsten auftretenden Attacken abgewehrt...

Das ist unrichtig. ein paar Posts vorher war von kostenpflichtigen PF´s die Rede.

Nicht konfiguriert gibt es nich. Sonst würden sie nicht funktionieren. Also falsch. Aber egal, meinetwegen halt nicht konfiguriert.

Und der nächste Wurm hat entweder trotzdem eine Chance oder gerade deswegen..

Es geht bloß darum, diesen Sciherheits-Hype der um die PF´s herum aufgebaut wird, zu entkräften.

Wer glaubt ZA oä. schützt sein System und er kann tun und lassen was er will, hat Pech. Leider suggerrieren viele genau das. Und viel mehr Leute vertrauen auch darauf.

Ich hab´auch nicht gesagt, daß PFs reiner Müll sind.

Aber sie sind imho als alleinige Sicherheitslösung ohne entsprechendes Benutzerverhalten auch für den privaten Heimrechner inakzeptabel.

NACK.

:ja: Sehe ich auch so.