Sinn und Unsinn von "Desktop-Firewalls"

  • vielleicht kann ja einer von den mods das mal oben festpinnen?

    den beitrag habe ich auseinem anderen board kopiert, wo ich ihn vor ca. 1 jahr geschrieben habe.
    ausserdem kann ich noch das video vom "Chaosseminar: Personal Firewalls" des ChaosComputerClub sehr empfehlen:

    http://ulm.ccc.de/chaos-seminar/…/recording.html

    Ergänzung:

  • Der Text ist mir viel zu religiös angehaucht. Sicher sind Desktop Firewalls kein unüberwindbares Sicherheitsschild gegen Angriffe von außen.
    Ihre Berechtigung haben sie aber zum Beispiel in der Begrenzung von ungewolltem Traffic von innen nach außen.

    Damit meine ich auch nicht irgendwelche Trojaner (die genausogut die Browserschiene benutzen könnten), sondern lästige Software, die sich dauernd nach Hause verbinden will, sei es zum nicht abschaltbaren Update-Check oder zum statistikübermittelnden Phone-Home.

    Wenn irgendwas gepinnt werden sollte, dann nur die Aussage: "Wer eine solche Firewall einsetzen will, sollte wisssen, was sie kann und was sie nicht kann. Und wer sich darüberhinaus beschimpfen lassen möchte, der darf diese Frage in de.comp.security.firewall stellen" ;)

  • hast du dir das video angesehen?
    hast du etwas auf den dort verlinkten seiten gelesen?

    die zentrale aussage ist, dass mit desktopfirewalls das system nicht sicherer, sondern unsicherer wird, weil sie aufgrund der verrenkungen, die sie anstellen müssen, um aus der falschen position heraus (eine firewall sitzt VOR dem zu schützenden rechner, NICHT DARAUF) einen schutz zu bieten, jede menge neue angriffsmöglichkeiten und lücken bieten.
    das konzept an sich ist falsch.

    selbst für die von dir genannten zwecke gibt es bessere lösungen.

    homecall-software ist z.b. durch (meist sogar bessere) alternativen ersetzbar, oder kann durch einen eintrag ihres update-/statistik-servers in der hosts-datei diszipliniert werden.

    desktop-firewalls bremsen das system aus, bieten keinen verlässlichen schutz, bringen prinzipbedingt neue sicherheitslücken auf das system, etc.
    wenn dir das *möglicherweise* blockieren von homecall-software als grund für eine derartige resourcenverschwendung ausreicht, ok.
    selbst das ist nicht sicher, weil der programmierer der homecall-software vielleicht schon mit dem nächsten update, das du installierst, auch die firewall austrickst.

    warum willst du eine untaugliche software offene ports bewachen lassen, anstatt sie einfach zu schliessen, indem du dein system richtig konfigurierst?

    für religiös halte ich ehr die vergötterung dieser software: "die hat viel geld gekostet und alle computer-"fach(TM)"-zeitschriften empfehlen sie. die MUSS ja was taugen, sonst wäre ich ja dumm, dafür geld ausgegeben zu haben."
    das sagt ehr etwas über die qualität der redakteure dieser zeitschriften aus, als über die qualität der software. :roll:

  • Ist das wieder ein "Lieber ohne als mit Desktop Firewall" threads?

    Kein (vernünftiger) Mensch behauptet daß eine DFW gegen alles schützt - aber es zeigt zumindest auf daß viele Programme ins Internet wollen, bzw. jemand aus dem Internet rein will - und läßt einem das verbieten.

    Für einfache Anwender ist es sicherlich besser eine DFW zu installieren und nichts zu ändern als ohne zu surfen.

  • Für einfache Anwender ist es sicher besser, das Script auszuführen und damit das ENTSCHEIDENE zu ändern, als sinnlos Geld auszugeben.

    Zitat

    aber es zeigt zumindest auf daß viele Programme ins Internet wollen, bzw. jemand aus dem Internet rein will - und läßt einem das verbieten.


    Dieses Märchen ist einfach nicht totzukriegen.
    Wenn der böse Trojaner sich "Ich bin das ganz wichtige Ding von MS" nennt, welcher normale User verbietet denn dem den Zugang zum Internet?

    Sei´s drum, es sind nicht meine Ressourcen, nicht mein RAM, nicht meine unendliche Anzahl von Prozessen, nicht meine Anfälligkeit durch eben diese PFW, nicht mein Geld für die gelben Schachteln.

    Lieber einmal zuviel paranoid als einmal zu wenig!

  • @den ganzen Thread: *ROTFLMAO*
    Sorry, mußte sein ;)

    tombik: Bring' mal Deine Signatur in Ordnung. Damals gab's den 1.0.1er Fx nocht nicht ;)

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Zitat von tombik


    Dieses Märchen ist einfach nicht totzukriegen.
    Wenn der böse Trojaner sich "Ich bin das ganz wichtige Ding von MS" nennt, welcher normale User verbietet denn dem den Zugang zum Internet?

    Keine Ahnung. Aber solchen Usern kann man so oder so nicht helfen, oder glaubst du daß jemand der einfach "Klick, klick" macht sich eine Hardware Firewall installiert?

    Aber diejenigen die den Kopf nicht nur als Halsabschluß haben werden sich vermutlich wundern wenn Programm XYZ plötzlich ins Internet will, obwohl es weder gestartet ist noch sonst einen Grund haben sollte.

    Bez. Geld ausgeben - ZoneAlarm ist kostenlos zu haben.

    Was ist besser - ein komplett offenes Windows, oder eines mit Firewall die zumindest ein paar Lücken schließt? Das Argument mit "täuscht falsche Sicherheit vor" ist unsinnig - der Dummy-User hat so oder so keine Ahnung davon, der surft auch ohne Firewall wenn man ihm sagt daß Windows eh sicher ist.

  • was ist besser?

    ein total offenes windows xp mit sp2.

    anstatt eine dpfw die das windows noch offener macht ;).

    die user die du meinst ist nicht mehr zu helfen denen hilft auhc keine firwall.

    diejenigen die ne firewall bedienen können brauchen eigentrlich keine.

  • Zitat von Cyberman

    Kein (vernünftiger) Mensch behauptet daß eine DFW gegen alles schützt - aber es zeigt zumindest auf daß viele Programme ins Internet wollen, bzw. jemand aus dem Internet rein will - und läßt einem das verbieten.

    Wenn es übern Port80 kommt oder sich wie so oft als Browser PlugIn installiert, nutzt Dir auch keine DFW.

    Wie jeder andere Mensch auch, wirst Du doch dein Eigentum durch das abschließen der Wohnungs-/Haustür schützen, beim Einsatz der DFW steht aber der "Einbrecher schon vor der Schranktür", da sie ja erst anschlägt wenn das böse Paket schon auf dem Rechner ist.

  • Zitat von Dexter

    Wenn es übern Port80 kommt oder sich wie so oft als Browser PlugIn installiert, nutzt Dir auch keine DFW.

    Wie jeder andere Mensch auch, wirst Du doch dein Eigentum durch das abschließen der Wohnungs-/Haustür schützen, beim Einsatz der DFW steht aber der "Einbrecher schon vor der Schranktür", da sie ja erst anschlägt wenn das böse Paket schon auf dem Rechner ist.

    Nicht alles geht über Port 80 - nicht alles benutzt den IE(oder einen anderen Browser) als Transport.

    Viele Programme, auch Viren(bzw. Trojaner) werden als eigene Programme identifiziert.
    Dadurch kann ich Programmen die ich nicht kenne den ZUgriff verwehren, während sie ohne DFW einfach so ins Internet können.

    Um bei dem Beispiel zu bleiben - wozu gibt es dann Safes? Kann man nicht einfach die Wertsachen offen herumliegen lassen, wenn´s eh egal ist, weil der Einbrecher schon da ist?

    Dann ist das Paket eben auf meinem Rechner, und? Dort stirbt es und kann nichts mehr machen.
    Für vermutlich 90% der "Angreifer" ist die Sache damit erledigt - die 10% die wissen wie man eine Firewall umgeht sind so oder so problematisch - aber die hätten es noch leichter ohne Firewall.

  • Nur ein Safe öffnet sich normalerweise nicht auf wundersame Art, wenn man dagegenklopft (vgl. Bug in PFWs) und außerdem lässt er normalerweise überhaupt nix nach außen oder nach innen, also kannst du nach diesem Prinzip verfahren, wenn du deinen PC so sicher haben willst, wie ein Safe: http://home.pages.at/heaven/absolut.htm :roll:

    Der Vergleich hinkt einfach so, dass es schlimmer nicht mehr geht.

  • Zitat von Master X

    Nur ein Safe öffnet sich normalerweise nicht auf wundersame Art, wenn man dagegenklopft (vgl. Bug in PFWs) und außerdem lässt er normalerweise überhaupt nix nach außen oder nach innen, also kannst du nach diesem Prinzip verfahren, wenn du deinen PC so sicher haben willst, wie ein Safe: http://home.pages.at/heaven/absolut.htm :roll:

    Der Vergleich hinkt einfach so, dass es schlimmer nicht mehr geht.

    Enthalten alle Firewalls den gleichen Bug? Kennt die jeder?

    Selbst wenn sich ein Safe (leicht) öffnen läßt - der Einbrecher muß dennoch wissen wie er vorgeht und steht vor einer weiteren Hürde.

    Eure Vorschläge(Keine DFW, die nutzen nichts) bisher sind immer wieder "Laß die Haustüre offen und leg das Geld auf den Tisch, der Einbrecher kommt so oder so rein.".

  • Wir haben gesagt: Mach die Haustür zu und vergess nicht das Fenster, aber du mauerst die Haustür zu und machst ein Fenster auf...


    Es hat vielleicht nicht jeder Firewall den gleichen Bug ,aber es gab und gibt Viren/Würmer/Trojaner die Firewall und Anti-Viren-Scanner ausschalten und da es sowieso nur eine überschaubare Zahl an Schutzsoftware gibt (Norton, Zone und noch ein paar) ist es nicht schwer einfach alle Bugs auszuprobieren, die es gibt. Jede Software hat ihre Fehler.
    Und wenn das Gewürme schon auf dem PC ist, dann hat es erst recht leichtes spiel, da es dank Administratorrechten alles machen kann, was es will.

  • Zitat von Master X

    Wir haben gesagt: Mach die Haustür zu und vergess nicht das Fenster, aber du mauerst die Haustür zu und machst ein Fenster auf...

    Nein, die Aussage ist daß eine DFW nichts nutzt - und das ist schlicht falsch.

    Sie nutzt nicht so viel wie eine Hardware Firewall, oder ein Router, oder dergl.

    Aber zu sagen "Eine DFW ist nutzlos" ist gleichbedeutend mit "Wozu zusperren?".

  • sorry, cyberman, aber du redest bullshit.

    du hast mit sicherheit nicht ein einziges mal auf die verlinkte seite gesehen.

    ein mit diesem script behandeltes windows ist mit sicherheit viel sicherer, als eins mit einer pfw drauf. einfach, weil da kein port mehr offen ist. auch keiner, den eine untaugliche software bewachen müsste.

    ich habe ja nicht einfach geschrieben: pfw's sind sch***, sondern: nehmt dieses script, weil das um welten besser ist, als jede pfw und weil es das eigentliche problem LÖST, statt nur rumzuflickschustern.
    wenn die dienste richtig konfiguriert sind, KANN die keiner mehr angreifen, weil sie nicht mehr erreichbar sind.

    du redest die ganze zeit von einem offenen windows, dabei habe ich gerade auf die möglichkeit hingewiesen, es auf die einzig richtige art dicht zu machen.
    ignorierst du das absichtlich?

  • Zitat von bc

    nenn mir mal bitte eine alternative zu pfw, die mir erstmal zeigen, welches programm ein homecall machen will. ohne dieses wissen kann man ja nicht nach alternativen suchen, um mit pech wieder ein homecall programm zu finden.

    bc

    Sehr gute Frage, bin gespannt auf Raik's Antwort... ;)
    Ich teile Raik's Meinung nicht aber da gibt es TCPView von Mark Russinovich. Damit kann man genau sehen welcher Prozess welchen Port offen hat. Dann allerdings ist es schon zu spät ;)

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Nenn mir 10 Programme, die nach Hause telefonieren,wie Du mit Deiner PFW festgestellt hast, und ich nenn Dir 10 Alternativen. ;)

    Es sind doch eh immer die gleichen Verdächtigen,ob Recht oder Unrecht ist jetzt ne andere Frage, wie WMP,Real etc...
    Solche Programme benutzt man einfach nicht bzw. weiß, wo man es so weit es geht abstellt.

    Und wenn jetzt mein Iconbearbeitungsprogramm nach Hause telefoniert ohne mein Wissen, da ohne PFW hier, dann soll es das machen. Da bin ich bestimmt weniger misstrauisch als bei WMP o.ä.

    Lieber einmal zuviel paranoid als einmal zu wenig!