Hallo zusammen,
hier wird doch immer wieder gesagt, daß Firewalls totaler Blödsinn sind! Jetzt kommt ‚Sasser‘ und N24 sagt:
‚Betroffen seien Rechner mit den Betriebssystemen Windows 2000, Windows XP sowie Windows Server 2003. Rechner hinter einer Firewall blieben von den Auswirkungen verschont.‘
Also taugt sie doch zu was, oder wie jetzt.
Grüße
Frank
Hallo zusammen,
Hi,
[N24]:
‚Betroffen seien Rechner mit den Betriebssystemen Windows
2000, Windows XP sowie Windows Server 2003. Rechner hinter
einer Firewall blieben von den Auswirkungen verschont.‘
Vielleicht solltest Du nicht das Gewaesch auf der Internet-Praesenz eines zweitklassigen Nachrichtensenders lesen sondern die Hinweise, die der Hersteller Deines Betriebssystems veroeffentlicht und die (seit 13. April) zur Verfuegung gestellten patches einspielen.
http://www.microsoft.com/germany/ms/technetservicede…
Ich wuerde diese Seite gerne rotieren, bis oben rechts eine Anzeige von Symantec oder aehnliches kommt, gaebe einen schicken screenshot. Aber eigentlich ist mir meine Bandbreite dazu zu schade und ich denke, ich finde sinnvollere Beschaeftigng.
Gruss vom Frank.
Hallo zusammen,
Hallo Frank!
hier wird doch immer wieder gesagt, daß Firewalls totaler
Blödsinn sind!
Wer sagt das?
Das Problem ist eher, dass sich die Leute irgendeine Personal
Firewall installieren und keine Ahnung haben, wie man eine Firewall
richtig konfiguriert. Dann denken sie: „Ich hab eine Firewall, mir
kann nix passieren“. Und sie erliegen damit einem Irrtum.
Eine anständig konfigurierte Firewall kann sehr wohl vor ungewollten
Rechnerzugriffen und anderen Angriffsversuchen schützen.
Aber eine Firewall ist kein Allheilmittel, wenn sonst keine
Sicherheitsvorkehrungen getroffen werden.
Jetzt kommt ‚Sasser‘ und N24 sagt:
‚Betroffen seien Rechner mit den Betriebssystemen Windows
2000, Windows XP sowie Windows Server 2003. Rechner hinter
einer Firewall blieben von den Auswirkungen verschont.‘
Das liegt daran, wie ‚Sasser‘ arbeitet:
Er erzeugt zufällige IP-Adressen und versucht auf diesen Adressen
einen Rechner zu erreichen. IP-Adressen von Rechnern, die hinter
einer Firewall stehen, sind nach außen aber nicht sichtbar. Deshalb
kann ‚Sasser‘ dann diese Rechner auch nicht erreichen.
Gruß
Tobi
hier wird doch immer wieder gesagt, daß Firewalls totaler
Blödsinn sind! Jetzt kommt ‚Sasser‘ und N24 sagt:
Falsch. Gegen Firewalls habe ich hier noch nie ein schlechtes Wort gelesen. Was du meinst, sind ‚persönliche Firewalls‘ (PF).
2000, Windows XP sowie Windows Server 2003. Rechner hinter
einer Firewall blieben von den Auswirkungen verschont.’
Jetzt könnte ich rabulisieren, und sagen, dass du das kleine Wörtchen ‚hinter‘ übersehen hast. Rechner mit PF stehen nicht hinter der FW.
Tatsache ist aber, dass der Sasser Fehler in Programmen ausnutzt, die auch mit Firewall eine Bedrohung für den Rechner darstellen. Wer sich gegen solche Fehler mit eine PF abgesichert fühlt, handelt fahrlässig. Einzig sinnvoll ist es, die schon vor Wochen bereitgestellten Fehlerkorrekturen einzuspielen.
Gruss,
Schorsch
Nein, PF isse nix gut.
Hi,
hier wird doch immer wieder gesagt, daß Firewalls totaler
Blödsinn sind!
Yep. Ich sag das z.B. Allerdings nur über Personal Firewalls.
Jetzt kommt ‚Sasser‘ und N24 sagt:
‚Betroffen seien Rechner mit den Betriebssystemen Windows
2000, Windows XP sowie Windows Server 2003. Rechner hinter
einer Firewall blieben von den Auswirkungen verschont.‘
Also taugt sie doch zu was, oder wie jetzt.
Nein. Sie taugt immer noch nichts. Die Aussage über die betroffenen Betriebssysteme ist auch gelogen. Es sind lediglich Rechner betroffen, die eines dieser Betriebssysteme benutzen und den seit mehr als zwei Wochen zur Verfügung stehenden Patch nicht eingespielt haben.
Gruß,
Malte.
Erläuterungen
Warum ein Rechner mit Firewall von der LSASS-Lücke dennoch gefährdet ist, dazu hier ein paar Erläuterungen
Der Sasser Wurm greift den LSASS-Dienst an. Dies ist ein zentraler Authorisierungsdienst in Windows, der vielfältigen Zwecken dient. Die Authorisierung gegen direkte Zugriffe von aussen ist nur einer dieser Zwecke, auch intern müssen Treiber und Dienste sich LSASS gegenüber ausweisen. Auch über den Browser übertragene Daten, also Daten, die du ganz gezielt an der Firewall vorbeischleust, greifen auf die Funktionalität des LSASS zu. Dies gilt z. B. bei gesicherten SSL-Verbindungen, aber auch bei gewünschten VPN- oder ssh-Zugriffen. Genauso wird der Zugang zu gesicherten Mailservern über LSASS geführt.
An jeder dieser Stellen ist der Rechner, sind keine Patches eingespielt, gefährdet. Jede dieser Stellen kann gezielt ausgenutzt werden, um Kontrolle über deinen Rechner zu erhalten. Die Firewall hat hier keinerlei Ansatzpunkt, Angriffe zu verhindern. Tatsächlich sind zumindest für den Angriff über den Internet-Explorer erste Exploits bekannt, die die LSASS-Schwäche angreifen. Diese Angriffe bringen es aber selten bis in die Nachrichtensendungen, da hier die Folgen auf den ersten Blick nicht so offensichtlich sind.
Tatsächlich stellen diese Angriffe aber eine wesentlich höher Gefährdung für die Integrität deines Rechners dar, als der kurze vom Sasser ausgelöste Präriebrand. Insbesondere, weil derartige Angriffe wesentlich schwieriger festzustellen bzw. anschliessend zu bekämpfen sind.
Gruss,
Schorsch
Hi,
hier wird doch immer wieder gesagt, daß Firewalls totaler
Blödsinn sind!
Über den Unterschied zwischen Firewalls und Personal Firewalls wurdest du ja schon aufgeklärt. Eine ergänzende Anekdote:
heute ruft mich ein Bekannter an, der nicht reproduzierbare Probleme mit seinem Internet Explorer hatte: in einigen Fällen konnte der DNS-Name der eingegebenen Website nicht aufgelöst werden. Nachdem er mir am Telefon seine Konfiguration durchgegeben hatte und ich nichts Auffälliges finden konnte, gingen wir dazu über, das Ganze ferngesteuert per VNC anzugehen (http://www.realvnc.com/). Auch hier konnte ich nichts Falsches an seiner Konfiguration erkennen, außer daß da eine Norton Personal Firewall installiert war. Lange Rede, kurzer Sinn: sie war es, mit abgeschalteter PF trat der Fehler nicht mehr auf.
Fazit: Nicht nur, daß die Dinger keinen Schaden abwenden, sie werden auch noch selbst zur Fehlerquelle.
Gruß
Sancho
Hallo zusammen,
ok ok, ich meinte PF. Ein faux pas meinerseits!! *rotwerd*
Aber ist der Unterschied wirklich so groß?
Windows XP hat ja eine Firewal, oder? Funktioniert diese besser als eine PF?
Grüße
Frank
.
Hi,
Aber ist der Unterschied wirklich so groß?
Welten.
Windows XP hat ja eine Firewal, oder?
Nein.
Funktioniert diese besser als eine PF?
Das IST eine Personal Firewall, und zwar eine der schlechteren Sorte (soweit das überhaupt geht.).
Gruß,
Malte.
Da ich von der Sicherheit, die mir Zone Alarm bietet, überzeugt bin, auch wenn sie nur einen kleinen, aber nicht unwesentlichen Teil der Sicherheit auf meinem Notebook bietet, folgere ich nach euren Stellungnahmen, daß Zone Alarm per Definition nicht zu Personal Firewalls gehört.
Gruß, AndyM
Da ich von der Sicherheit, die mir Zone Alarm bietet,
überzeugt bin, auch wenn sie nur einen kleinen, aber nicht
unwesentlichen Teil der Sicherheit auf meinem Notebook bietet,
folgere ich nach euren Stellungnahmen, daß Zone Alarm per
Definition nicht zu Personal Firewalls gehört.
Doch tut es, und ich folgere daraus, daß Du einem Irrglauben über den (Un-)Sinn von solchen Schlangenöl-Produkten erlegen bist 
Gruß,
Malte.
Hallo Andy
Da ich von der Sicherheit, die mir Zone Alarm bietet,
überzeugt bin, auch wenn sie nur einen kleinen, aber nicht
unwesentlichen Teil der Sicherheit auf meinem Notebook bietet,
folgere ich nach euren Stellungnahmen, daß Zone Alarm per
Definition nicht zu Personal Firewalls gehört.
Naja, da Du von ZA überzeugt bist, wundert es mich nicht, dass Du nicht erkennst, um was für einen Müll es sich dabei handelt. ZA gehört definitiv zur Kategorie der Personal Firewalls und zwar zu den schlechtestmöglichen Produkten dieser Zunft. Es gibt andere Produkte, die ihre Sache weniger schlecht machen…
CU
Peter
Hallo Frank
Aber ist der Unterschied wirklich so groß?
Nein, er ist noch viel grösser. Denn eine ‚Firewall‘ ist kein eigentlich direkt fassbares Produkt. Sondern ist eigentlich das gesamthafte Sicherheitskonzept, welches z.B. Du für Deine Situation erstellt hast.
Windows XP hat ja eine Firewal, oder? Funktioniert diese
besser als eine PF?
Nein, tut sie nicht. Auch wenn M$ anderes behauptet, ist und bleibt das eine Personal Firewall mit all ihren prinzipbedingen Unzulänglichkeiten.
Eine Lösung, der man mitunter den Namen ‚Firewall‘ gibt, hat prinzipiell ein wesentliches Merkmal: Sie läuft nicht auf dem Computer, den sie schützen soll. Sie ist vielmehr physikalisch auf einem anderen Gerät, das dann zwischen dem zu schützenden Computer und dem ‚bösen‘ Internet steht, untergebracht.
CU
Peter
Hallo Peter,
wäre ein Router ein guter Ansatz?
Cu
Frank
Das IST eine Personal Firewall, und zwar eine der
schlechteren Sorte (soweit das überhaupt geht.).
Unter http://www.microsoft.com/windowsxp/home/using/produc… finden sich ja schon eine Reihe bedenklicher Aussagen. Warum der xp-Portfilter aber schlechter sein soll, als andere PFs, wüsste ich nicht zu begründen.
Globale Aussagen wie ‚protects your computer‘ zeigen die xp-fw zwar im gleichen Marktsegment angesiedelt wie andere snakeoils auch. Soweit sie aber die Verbindungsaufnahme über bestimmte Ports blocken soll, ist mir nicht bekannt, dass die xp-fw hier versagt oder sonstigen Blödsinn macht.
Schlechter mag sie insofern sein, als suggeriert wird, als Bestandteil des Betriebssystems könne sie ‚noch besser‘ schützen, als andere PFs. Aber der Mangel liegt m. E. im BS, nicht im draufgeklebtem Pflaster, heisse es nun Hansa-, Leuko- oder Snakeoilplast.
Gruss,
Schorsch
Der kleine feine Unterschied…
Da ich von der Sicherheit, die mir Zone Alarm bietet,
überzeugt bin, auch wenn sie nur einen kleinen , aber ::nicht unwesentlichen Teil zur Sicherheit …
Und genau hier ist IMHO das Problem. Natürlich ist ZA grottenschlecht. Aber auch ZA ist besser als gar nichts, WENN: (!!!) so wie es Andy schreibt, dem User bewusst ist, das es nur einen kleinen Teil der Sicherheit auf den Rechnern ausmacht.
Meistens wird aber gerade nach der Installation einer PF auf Teufel komm raus in der Gegend rumgesurft („mir kann ja nix passieren, ich hab ja ne Firewall…“)und dann geht der Schuss nach Hinten los.
Die Personal Firewall’s wiegen den User in einer trügerischen Sicherheit, die sie per se nicht bieten können, da das Problem in diesem Falle vor dem Monitor sitzt. Um eine Firewall richtig zu konfigurieren muss man sich mit den Ports, Protokollen und Anwendungen auf seinem System auseinandersetzen. Und da sind, wenn man es richtig macht, sogar die meisten SysAdmin’s überfordert (mich durchaus eingeschlossen 
… ) was also erst beim Otto-Normal User???
Dann doch lieber ohne PW & mit gesundem Menschverstand online gehen…
Just my 2 cents,
Greetz,Saabray.
Hi,
wäre ein Router ein guter Ansatz?
Ein router ist ein Ding, was Netzwerke auf layer3 miteinander verbindet. Seine primaere Aufgabe ist es, IP-Pakete aus einen Netzwerk von anderen Netzwerken fernzuhalten. Die Entscheidung, ob ein IP-Paket in eine Netzwerk gehoert oder nicht wird alleine auf Basis seiner IP-Adresse und der subnet mask der Netzwerke entschieden. Da zaehlt kein port, kein layer4-Protokoll, keine bestimmte application, nur Zieladresse des Pakets und die Netzwerkmasken, mit denen der router verbunden ist. Diese Definition schlieszt keinerlei security features ein.
Eine firewall ist Konzept zur Trennung von Netzwerken und hat viel mehr mit Papier als mit hard-/software zu tun. Damit ist in keinster Weise festgelegt, wie diese Trennung erfolgt. Das Konzept definiert lediglich das Was. Falls dieses Konzept bestimmt, dass IP-traffic aus dem einen Netzwerk im anderen nichts zu suchen hat ist ein router durchaus geeignet, dieses Konzept umzusetzen. Falls es aber festlegt, dass bestimmter IP-traffic die Netzwerkgrenzen nicht ueberschreiten darf, musz eine andere Loesung her. Falls das Konzept sogar festlegt, dass zwei Netzwerke gar nicht miteinander kommunizieren duerfen, ist der router sogar eher hinderlich, weil man sein Geld besser fuer gutes Wachpersonal investieren sollte. (Wachpersonal kann durchaus Bestandteil der Realisierung einer firewall sein.)
Um das ganze noch komplizierter zu machen ist der SOHO-router aus dem Mediamarkt weit mehr als nur ein router: die Kisten koennen im Allgemeinen PAT/NAT (aka. masquerading), Pakete filtern, DHCP server spielen… etc. Falls also jetzt fuer die Umsetzung des firewall-Konzepts ein router mit Paketfilter ausreicht, ist so ein Ding eine gute Wahl. Pakete filtern bedeutet dabei im Allgemeinen, die routing-Entscheidung von weiteren Merkmalen des Pakets abhaengig zu machen: Protokoll (TCP/UDP), port, evtl. der ‚Geschichte‘ der Verbindung, etc.
Zieht man jetzt noch hinzu, dass ein einzelner Rechner per Definition kein Netzwerk ist wird hoffentlich klar, dass fuer viele Internetnutzer auch so eine Mediamarkt-router nicht notwendig ist, da es keine Netzwerke zum trennen gibt (auch wenn ich weisz, dass das fuer Rechner mit bestimmten Betriebssystemen nicht gilt).
HTH,
Gruss vom Frank.
Hallo,
wäre ein Router ein guter Ansatz?
Fürs „Routen“? Ja.
Ein Sicherheitskonzept würde ich eher anderswo beginnen, auch wenn ein Router zur Erhöhung der Sicherheit beitragen kann.
Gruß,
Sebastian
Hallo Frank,
das Thema Personal Firewall scheint hier von ein paar Leuten falsch verstanden zu werden. Eine Firewall ist weder eine Sekte, noch ein Zauber. Ich gehöre zwar der Zunft der IT Fachleute an, aber da man nicht alles wissen kann habe auch ich andere Leute, die mich und meine Kunden mit IT Security bedienen. Meine persönlichen Erfahrungen belegen allerdings, daß der Betrieb einer Personal Firewall den PC sicherer macht als wenn Du keine Personal Firewall verwendest. Das gilt insbesondere, wenn Du davon abhängig bist, Dich über Direkteinwahl über Modem oder ISDN mit T-Online zu verbinden. Ich persönlich verwende Zone Alarm und bin damit zufrieden. Es bietet nicht den Rundumschutz, aber den hast Du bei Direkteinwahl eben nicht. Aber zumindest wird der Fileaccess gesperrt, so daß ich nicht nach wenigen Sekunden einen Virus im system32 Verzeichnis habe. Auch die nervigen Popups kommen nicht durch. Auch können Mitarbeiter der Kunden, in deren Netzwewrk ich mich bewege, nicht ohne weiteres auf meine Daten zugreifen. Andererseits kann ich eben dies aber auch ohne großen Umstand erlauben, indem ich das lokale Netz freigebe oder Zone Alarm einfach herunterfahre.
Manche Menschen neigen dazu, zu behaupten, Personal Firewalls seien Unfug. Das ist ungefähr so als wollte man den Airbag und den Sicherheitsgurt für Unfug erklären weil beide keine Unfälle vermeiden. So denke ich nicht, ich denke an beiden Seiten muß man ansetzen: Vermeiden und Schadensbegrenzung.
Gruß, AndyM