Gegen PF-Software?

micha_x

Es herrscht in Foren (immer noch?) die Meinung, dass PF-Software für Privatanwender keinen Nutzen bringt. Dazu habe ich einige Fragen, zu denen ich gerne eure Meinung lesen würde (mit der Bitte darum, die - eigentlich zueinander in keinem inhaltlichen Bezug stehende - in PF-Software häufig anzutreffende Funktionalität des Unterbindens des Zugriffs auf das Internet laufender Anwendungen aus der Diskussion herauszuhalten und lediglich den Punkt "Paket-Filter" einer PF-SOftware zu diskutieren):

1. Die Hauptbehauptung der Gegner von PF-Software ist es, dass es für eine abgesicherte Internetverbindung ausreicht, nicht benötigte Services des Betriebssystems (im Falle von MS-Windows eher Betriebssoftware *hehe*) auszuschalten und damit die Angriffspunkte nach aussen hin zu unterbinden. Dies sehe ich auch so, doch ist es gerade bei Windows-System zB. nicht wirklich möglich, alle Ports nach aussen hin zu sperren (lasse mich gerne von etwas anderem belehren, solange dabei nicht die Rede von der in Windows XP integrierten Firewall ist, die ja genau das gleiche tut wie zB. Sygate - außer, dass sie in das OS integriert ist). Bei Angriffen wie den diversen RPC Exploits oder dem jetzt ganz neuen ASN.1 Bug würde das allerdings nicht weiterhelfen, da m.W. der RPC-Dienst (zumindest unter 2K/NT) nicht deaktivierbar ist und von daher grundsätzlich nach aussen hin sichtbar ist. Mit einer PF (Zonealarm zähle ich übrigens nicht dazu) wird das Risiko eines direkten(!) Angriffs von außen deutlich reduziert, da schon tief im IP-Stack Anfragen auf nicht freigegebene Ports blockiert werden (sollten, aber das ist eine andere Diskussion). IMNSHO wären einige der heftigsten Viren/Würmer der letzten 6 Monate (ja das wird immer schlimmer hehe) ziemlich wirkungslos verpufft, wenn mehr Anwender zumindest eine PF-Software einsetzen würden (Router oder externe FW-Kisten wären natürlich nochmal deutlich besser).

2. Es wird außerdem häufig angeführt, dass sich die Menge an Code, die Bugs aufweisen kann erhöht durch PF-Software. Das ist dann richtig, wenn man die zugrundeliegenden APIs nicht beachtet (bzw. beachten will). Die Menge an Code, die ausgeführt wird wenn ein aktiver RPC-Dienst auf Port 135 angetroffen wird und an diesen Port eine Anfrage gesendet wird ist deutlich höher als wenn eine PF tief im IP-Stack die Anfrage bemerkt und abblockt, bevor diese zum RPC-Dienst (übrigens einer der zentralsten und komplexesten Dienste in WinNT+, COM/DCOM/OLE/ActiveX geht alles über diesen Dienst) durchdringt. Ebenso müsste dann konsequenterweise von der Benutzung von Anti-Dialer-Software abgeraten werden etc. pp.

3. Wenn Punkt 1 und 2 als nicht geltend angesehen werden, begründet sich dies meist darauf, dass die Anwender einfach nur die betroffenen Dienste abschalten und die Sicherheitspatches rechtzeitig installieren müssen, um nicht denselben sondern einen besseren Schutzeffekt zu haben wie durch eine Firewall. Nun existiert der ASN.1-Bug schon seit geraumer Zeit, wurde zwar noch nie ausgenutzt aber war schon lange bekannt und es gab nie einen Patch von MS. Gleiches gilt für den RPC-Bug und nun, da die Source-Codes von weiten Teilen von NT und 2000 im Netz aufgetaucht sind steht zu befürchten dass es in naher Zukunft Exploits für Bugs geben wird, die bis dato noch nicht bekannt waren und schnell massive Verbreitung finden könnten. Spätestens an dem Punkt hilft dann IMHO eine PFW, oder nicht? (Email-Würmer und IE-nutzende DAU's zählen hier nicht, da hilft weder eine FW noch abschaltbare Dienste noch sonstwas ausser gesundem Menschenverstand).

Das ist eine ernstgemeinte Diskussionsanfrage ... freue mich auf eure Meinungen.

Gruß,
Micha