Gegen PF-Software?

Bo Derek

Okay, wenn für Dich eine PF eine absolute Daseinsberechtigung hat, dann lass uns das doch mal auf die Fragen des Themas münzen:

(Für alle Oberschlaumeier gilt: "Personal Firewall" und "Firewall" wird hier synonym verwendet, da es hier ohnehin eindeutig um "Personal Firewalls" geht. Also spart euch den dämlichen Kommentar...)

</font><blockquote>Zitat:</font><hr />1. Die Hauptbehauptung der Gegner von PF-Software ist es, dass es für eine abgesicherte Internetverbindung ausreicht, nicht benötigte Services des Betriebssystems (...) auszuschalten und damit die Angriffspunkte nach aussen hin zu unterbinden. (...) doch ist es gerade bei Windows-System zB. nicht wirklich möglich, alle Ports nach aussen hin zu sperren</font>[/QUOTE]Korrektur: das würde ich als falsch bezeichnen. Angriffspunkte werden nicht unterbunden, sondern die potentiellen Schwachstellen werden minimiert durch das Beenden von nicht benötigten Diensten. Auch werden auf diese Weise auch keine Ports gesperrt, sie sind lediglich nicht offen.

Die Rolle der Firewall: keine. Entweder es werden Dienste angeboten, dann sind Ports / ein Port offen oder es wird kein Dienst angeboten. Eine Firewall kann keine Ports schliessen, sie kann höchstens die Kommunikation des Dientes unterbinden. Dann kann man diesen aber auch gleich beenden. Das bietet den selben "Schutz" und sofern man alternativ eine Firewall einsetzt kommen die potentiellen Schwachstellen dieser hinzu, womit sich die Gesamtanzahl der möglichen Angriffspunkte des Systems nominal erhöhen.

</font><blockquote>Zitat:</font><hr />Windows XP integrierten Firewall ist, die ja genau das gleiche tut wie zB. Sygate - außer, dass sie in das OS integriert ist).</font>[/QUOTE]Korrektur: falsch. Die ICF ist ein Portfilter, der nur incoming traffic filtert. Firewalls wie z.B. die von Dir genannte Sygate filtern aber auch outgoing traffic, erlauben die Erstellung von Filterregeln, sind applikationsbasiert, haben meist einen MD5 Check etc.pp.

Die Rolle einer Firewall: auch in diesem Fall ist keine Notwendigkeit für den Einsatz einer PF zu sehen.

</font><blockquote>Zitat:</font><hr />Bei Angriffen wie den diversen RPC Exploits oder dem jetzt ganz neuen ASN.1 Bug würde das allerdings nicht weiterhelfen, da m.W. der RPC-Dienst (zumindest unter 2K/NT) nicht deaktivierbar ist und von daher grundsätzlich nach aussen hin sichtbar ist.</font>[/QUOTE]Korrektur: mir ist nicht klar, wie Du einen so tief greifenden Bug in ASN.1 mit einer PF stopfen willst.

Die Rolle einer Firewall: wie ich in dem von mir verlinkten Beitrag auf Rokop Security bereits geschrieben habe, ist in Fällen wie dem des RPC Exploits eine Firewall ein absolutes Plus für die Systemsicherheit eines Privat-PC! Tatsächlich wurde hier die Kommunikation über Port 135 bei vielen Usern dank einer PF unterbunden, bevor der Bugfix von MS herauskam. Auch ermöglichte es die intendierte Nutzung von RPC-abhängigen Diensten, die bei Einspielen des MS-Patches nicht mehr lauffähig waren.

</font><blockquote>Zitat:</font><hr />Mit einer PF (Zonealarm zähle ich übrigens nicht dazu) wird das Risiko eines direkten(!) Angriffs von außen deutlich reduziert, da schon tief im IP-Stack Anfragen auf nicht freigegebene Ports blockiert werden</font>[/QUOTE]Korrektur: Nicht freigegebene Ports müssen nicht blockiert werden, warum auch. Was hat der TCP/IP-Stack mit den Aktivitäten einer PF zu tun?

Fragen: warum ist für Dich ZA keine PF? Warum erwähnst Du explizit "direkte" Angriffe, gibt es auch indirekte?

</font><blockquote>Zitat:</font><hr />konsequenterweise von der Benutzung von Anti-Dialer-Software abgeraten werden etc. pp.</font>[/QUOTE]Korrektur: wie oben beschrieben, basiert die Behauptung, der Einsatz einer PF führe zu noch mehr Sicherheitslücken, sicher auf der Tatsache, dass sich viele Exploits durch das Abschalten des Dienstes verhindern lassen, den dieser nutzt. Schaltet man den Dienst nicht ab und setzt statt dessen eine PF ein, so kumuliert sich die Anzahl der möglichen Sicherheitslücken um die Anzahl der (potentiellen) Sicherheitslücken der eingesetzten PF. Bei Dialerschutzprogrammen verhält es sich ähnlich: man kann eine Sperre bei der Telekom beantragen oder sich eine Dialerschutzsoftware installieren. In jedem Fall ist die Sperre bei der Telekom die vernünftigere Variante. Allerdings könnte auch hier der Nutzer 0190er Nummern absichtlich wählen wollen (z.B. bei Preisausschreiben) und dann bietet sich eher die Schutzsoftware an. Einen Haken hat Dein Vergleich jedoch schon: da eine Firewall sozusagen an den Kommunikationskanälen des PC "sitzt", kann eine Sicherheitslücke dieser sehr weit reichende Konsequenzen haben, eine Dialerschutzsoftware aufgrund ihres eingeschränkten Funktionsradius jedoch weniger.

[QUOTE...Exploits für Bugs geben wird, die bis dato noch nicht bekannt waren und schnell massive Verbreitung finden könnten. Spätestens an dem Punkt hilft dann IMHO eine PFW, oder nicht? [/QUOTE]

Dem würde ich zustimmen. Der Einsatz einer PF könnte sinnvoll sein:

- um Exploits vorzubeugen, für die (noch) keine Patches existieren
- um das Risiko der Ausnutzung einer Sicherheitslücke "selektiv" zu begrenzen, wenn von diesem Dienst abhängige Funktionen benötigt werden und dieser nicht komplett abgeschaltet werden kann

Alles in allem setzt das aber eine einwandfreie Konfiguration der Firewall-Regeln voraus und ersetzt in keinem Fall das Beenden nicht benötigter Dienste.

Puh - das waren meine ersten Gedanken hierzu [img]smile.gif[/img]