Begriffsbestimmung
Hallo,
Nun ja ich setze Symantec selber ein. ich gebe dir Recht dass
bei Standartinstallation die Startzeit unendlich lang wird.
Dadurch ist das bei mir schon durchgefallen. Völlig inakzeptabel.
Wenn man weiss wo man schrauben muss lässt sich dieses wieder
rückgängig machen.
Es war bei diesem Paket noch nicht einmal möglich, nur das AntiVirus ohne die „Personal Firewall“ zu installieren, jedenfalls nicht über die erreichbaren Einstellungsmöglichkeiten: Schlecht. Ich will nicht in der Registry rumfuckeln müssen, um eine Software ordentlich zum Laufen zu bekommen. Außerdem gibt es ja AntiVir, das reicht vollkommen aus und ist ganz ordentlich aufgebaut, finde ich.
Sowas kann ja auch Sinn machen - ein Paketfilter zur Trennung
von Netzen. Aber eine Personal Firewall? Kaum. Das sind zwei
völlig unterschiedliche Ansätze.
Hmm Firewall ist doch eigentlich vom Sinn her eine
Hardwarelösung oder?
Ich versuche mich mal an einer Begriffsbestimmung, wobei das recht schwierig ist, weil einige Begriffe teilweise sehr unterschiedlich verwendet werden:
Firewall
Eine Firewall (es heisst die Firewall, weil „wall“ zu „die Wand“ übersetzt wird) ist ein Konzept, um Computernetzwerke unterschiedlichen Vertrauensniveaus voneinander zu trennen. So ein Konzept beinhaltet häufig spezielle Netzwerkknoten, die verschiedenen Aufgaben zu seiner Umsetzung übernehmen:
Paketfilter
Der Paketfilter ist die einfachste Form eines solchen Netzwerkknotens. Er prüft die ein- und ausgehenden Datagramme idR auf den ISO/OSI-Schichten 3 und 4 und entscheidet dann auf Basis eines Regelsets, was mit ihnen geschieht.
Ein Paketfilter besteht immer aus einer Software, die auf einer wie auch immer gearteten Hardware läuft. Das kann zum Beispiel ein Linux-System auf einer ganz normalen PC-Architektur sein, oder aber auch speziell dafür gefertigte Hardware in einer kleinen Box, auf der ein speziell dafür gefertigtes Betriebssystem läuft (Bsp: Cisco PIX).
stateful inspection
Einer der schwierigeren Begriffe. Zum einen wird darunter verstanden, daß die Datagramme auf ISO/OSI-Schicht 4 differenzierter geprüft werden, zum anderen versteht man darunter auch eine weiterführende Kontrolle, die in die Schichten 5 bis 7 hineinreicht. (Beispiel: „Enthält eine eingehende Verbindung mit dem Zielport 21/TCP wirklich FTP-Steuerdaten?“)
Application Level Gateway
Wie schon der Paketfilter ist auch das Application Level Gateway eine Software, die auf einer wie auch immer gearteten Hardware läuft. Das Application Level Gateway stellt eine Art „Durchleuchtungseinheit“ für Datagramme dar, die in den Schichten 5 bis 7 prüft. Meist bietet es eine solche „Einheit“ in Form eines
Application Level Proxy
zur Verfügung, der eine echte Trennung der Netze verwirklicht, indem er Verbindungen mit einem bestimmten Modul annimmt, sie prüft und dann eine separate Verbindung zum eigentlichen Ziel aufbaut und die positiv geprüften Daten dann aushändigt. Die häufigsten Dienste, für die so etwas eingesetzt wird, sind HTTP, FTP und Mail.
Bastion Host
Bezeichnet einen Netzwerkknoten, der den einzigen Übergang zwischen zwei Netzen darstellt - alle Pakete müssen über diesen Knoten laufen und werden auf ihm in irgendeiner Form geprüft.
Demilitarisierte Zone - DMZ
Eine DMZ ist ein Bereich, der „zwischen den Netzen“ liegt - in ihm werden Dienste angeboten, die sowohl vom nicht-vertrauenswürdigen Netz als auch vom vertrauenswürdigen Netz aus erreichbar sein sollen.Häufig stehe in einem solchen Bereich Web- oder Mailserver. Für den Verkehr von außen in die DMZ und von innen in die DMZ gelten unterschiedliche, spezielle Regeln.
Soweit der Versuch einer Definition der wichtigsten Begriffe. Du siehst, der Begriff „Hardware-Firewall“ kommt dabei nicht vor - weil er keinen Sinn macht. Es gehört allerdings zu den „Regeln der Kunst“, daß auf einem Netzwerkknoten, der einen Pakefilter oder ein Application Level Gateway darstellt, keine für diese Funktion unnötige Software zu laufen hat. Ein Paketfilter ist nur Paketfilter und sonst gar nichts.
Im privaten Bereich ist es „erlaubt“, von dieser Regel in bestimmten Fällen abzuweichen - mein privates „Internetgateway“ ist zum Beispiel gleichzeitig Arbeitsplatz-PC. Dadurch verringert sich das Maß an Sicherheit und die Angreifbarkeit erhöht sich, aber für meinen Sicherheitsbedarf ist es okay.
Die Desktop Firewalls können sicherlich
nie eine Hardwarelösung ersetzen. Wie ich schon schrieb
auszuhebeln sind sie alle ist bloss eine Frage der Zeit.
Die sogenannten „Personal Firewalls“ arbeiten nach einem ganz anderen Prinzip: Sie wollen(!) regulieren, welche Anwendung was für Verbindungen aufbauen darf und das auf demselben System, auf dem sie laufen. Außerdem beantworten sie fast immer eingehende Verbindungen in einer nicht standardkonformen Art und Weise, nämlich (im sogenannten „stealth mode“) mit einem „drop“ statt mit „reject“, was sehr lästig ist und keinerlei Sicherheitsvorteil bringt.
Dadurch, daß jedoch diese „Sicherheitsmechanismen“, besonders was die Kontrolle ausgehender Verbidnungen angeht, alle ohne große Probleme ausgehebelt werden können, muß der Schutz als unvollständig und damit als nicht vorhanden gelten. Sie liefern _keine_ Sicherheit für abgehende Verbindungen, sondern lediglich ein „naja, vielleicht werden manche abgehenden Verbindungsversuche verhindert.“ Das ist aber leider nichts, womit man etwas anfangen kann.
Was die Kontrolle von eingehenden Verbindungen angeht, sind die Fähigkeiten dieser Produkte derart beschränkt, daß sie bei einem Rechner, dessen Dienste sauber konfiguriert sind, schlicht überflüssig sind. Sie nutzen nichts.
Gesamtnutzen also gleich Null, wenn man von der Grundvoraussetzung ausgeht, daß der Rechner auf dem aktuellen Stand ist, was Patches angeht und sauber konfiguriert ist, was imho eine Selbstverständlichkeit ist. Ist diese Voraussetzung nicht gegeben, gilt das System unter allen umständen als nicht sicher und die darauf enthaltenen Daten sind als ständig potentiell verloren zu betrachten.
Der Schlüssel für ein sicheres System liegt also in folgenden Punkten:
-
Ausnahmslos Einsatz von vertrauenswürdiger Software
-
Stets aktuelles Patchlevel
-
sichere Konfiguration der angebotenen Dienste und der eingesetzten Programme
-
Ausnahmslos nur Anbieten von Diensten, die man auch anbieten will
-
bewusster Umgang mit dem System seitens des Benutzers
DAS sind die Punkte, auf die man hinarbeiten muß, DAS sind die Punkte, die man den Benutzern nahebringen muss, und DAS ist das Wissen, welches man vermitteln muß.
Die Beschäftigung mit Personal Firewalls ist - außer aus „akademischem Interesse“ - verschwendete Zeit und Energie.
Der linkblock.de ist für Windows-basierte Systeme ein guter Anfangspunkt dafür.
Bei unix-basierten Systemen ist Sicherheit quasi „integriert“, ergibt sich also aus der Beschäftigung mit dem System selbst, konkret aus den man-Pages und den Handbüchern.
Gruß,
Malte.
