[again] Sinn und Unsinn von PFs - leichtgemacht
Ich schmeiß mich mal wieder ins Rennen… Bitte hab nicht den Eindruck, ich würde beim Trigger „Personal Firewall“ wie ein HB-Männchen (kennt das hier noch wer?) in die Luft springen und schreien „Teufelszeug! Teufelszeug! Verbrennt es!“.
Meintwegen soll jeder nach seiner Facon glücklich werden und machen, was er will. Gerade was dieses Thema anbelangt herrschen jedoch Irrtümer in vielen Köpfen vor, und diese auszuräumen liegt mir nunmal berufsgemäß am Herzen. Ich will also versuchen, mich verständlich auszudrücken.
Fangen wir an mit den vermeintlichen Vorteilen von PFs:
-
„Portscans werden verhindert“
-
„Ping (echo response) und andere ICMP werden verhindert“
-
„Ports gehen in den Stealth Modus, man wird ‚unsichtbar‘“
-
„Fernsteuerung des PC wird verhindert“
-
„Zugriffe von innen nach außen werden verhindert“
-
=> „Daraus folgt ein Grundschutz vor Hackern.“
Es fällt mir naturgemäß nicht ganz leicht, die Angelegenheit aus der Sicht eines 08/15-Users zu betrachten, aber ich denke, das ist es soweit. Wenn jemandem noch andere „Vorteile“ einfallen, bitte ich um Nachricht!
Dazu im einzelnen eine technische Bewertung:
1. "Portscans werden verhindert"
Was ist ein Portscan? Ein Portscan ist hier das systematische Abfragen, ob hinter bestimmten Ports eine Anwendung „sitzt“, die dort lauscht und ggf. antwortet, so daß man mit ihrer Hilfe irgendeinen Einfluß auf den betr. PC nehmen kann. Es gibt hier pro Port genau zwei Möglichkeiten:
a) Ja, dort lauscht eine Anwendung. Gut! Das wird einen Grund haben. Z.B. den, daß man diesen Dienst anderen Usern anbieten will, bspw. einen Web- oder FTP-Server oder die Möglichkeit, ICQ-Nachrichten anzunehmen o.ä. In diesem Fall WILL man auf diesem Port erreichbar sein. Die Authentifizierung, d.h., daß nur berechtigte Benutzer diese Anwendung erreichen können, wird von der Software, die auf diesem Port lauscht, vorgenommen. Bei sauber programmierter Software ist ein Mißbrauch hier nicht möglich. JA, es gibt so etwas wie sauber programmierte Software.
Ergo schadet es nichts, wenn dieser Port „offen“ ist, ja es ist sogar erwünscht.
Sollte das NICHT der Fall sein, empfiehlt es sich, die Software zu entfernen oder umzukonfigurieren. DAS macht einen hier sicher.
b) Nein, hier lauscht keine Anwendung. Dann meldet sich auf diesem Port niemand und das Thema ist eh erledigt. Wo nix is, kann nix mißbraucht werden.
Wo stellt ein Portscan nun noch eine Gefahr da? Ich sehe keine. Aber ich sehe die Voraussetzung, den betr. Rechner ordentlich einzurichten und sich mit dem, was man tut, ein wenig zu beschäftigen! Das ist im Normalfall, für den Standarduser, recht einfach. Wer Dienste wie http oder ftp anbieten möchte, naja, der sollte sich sowieso damit beschäftigen. Das ist nix für mal eben nebenbei. Ich darf auch keine Pommesbude aufmachen, nur weil ich da grad heute mal Bock drauf hab.
2. "Ping (echo response) und andere ICMP werden verhindert"
Ein Ping oder andere ICMP-Pakete stellt i.d.R. keinerlei Gefahr da. Es gab da mal was, früher, was sich „Ping of Death“ nannte, aber das ist lange her.
Ganz im Gegenteil, einen Ping (echo request) zu beantworten ist gut, ich will das! Schließlich will ich für andere erreichbar sein, z.B. wenn ich o.g. Dienste anbieten möchte oder im ICQ online bin o.ä. Mitunter kann ein Dienst ohne den treuen Diener „ICMP“ nicht funktionierend benutzt oder angeboten werden.
Wo ist die Gefahr? Ping ist gut!
3. "Ports gehen in den Stealth Modus, man wird ‚unsichtbar‘"
Dies hängt unmittelbar mit den vorangegangenen Punkten zusammen. Was ist gut daran, unsichtbar zu sein? Das will ich doch gar nicht! Ich BIN doch da! Und ich will doch erreicht werden, von den Antworten des Webservers, auf dem ich mir Seiten anschauen möchte, von meinen Freunden im ICQ, von anderen Nutzern im WinMX etc.
Ports, hinter denen eh nichts läuft, muß ich nicht verstecken, welche, hinter denen etwas lauscht, ebenso wenig.
Was bleibt als Sinn? Ein Wort („stealth mode“), daß sich unglaublich cool und sicher anhört, aber NICHTS aussagt und vor nichts beschützt.
4. "Fernsteuerung des PC wird verhindert"
Zugriffe von außen nach innen werden kontrolliert und verhindert. Hm… Welche Zugriffe? Zugriffe worauf? Auf meine Windows-Freigaben? Die sind doch eh nicht auf dem Internet-Interface aktiviert. Worauf dann? Wo nichts ist, kann auch nichts ferngesteuert werden.
5. "Zugriffe von innen nach außen werden verhindert"
Ja, mache Zugriffe werden durch eine PF verhindert. Z.B. der Real Player, dem man erlaubt hat, nach Hause zu telefonieren oder anderes. Ups! Der Real Player benutzt automatisch den Browser, wenn er nicht direkt rauskommt! Und das bekomm ich dann gar nicht mehr mit! Uuuups! Aber vorher poppte ja ein tolles Warnfenster auf (bei dem „normalen“ Versuch des RP), also muß ich ja sicher sein und bekomme von dem weiteren gar nichts mit.
Oder der böse Trojaner, der sich bei seinem Nutzer melden will. Ups! „Do you want Internet Explorer to access the internet?“ Klar will ich! Uuuups! Der Trojaner hat sich "Internet Explorer genannt und ich hab’s nicht mitbekommen!
Oder der Trojaner hat meine PF so umkonfiguriert, daß sie ihn eh durchlässt. Oder der Trojaner hat die PF durch ein identisch erscheinendes, aber funktionell verändertes Programm ersetzt.
Das geht nicht, weil Dein Anti-Virus sowas verhindert? Super! Aber das ist dann kein Verdienst der Firewall.
Zugriffe von innen nach außen werden _nicht_ verhindert.
6. => "Daraus folgt ein Grundschutz vor Hackern."
Nein, daraus folgt ein trügerisches Gefühl von (partieller) Sicherheit. Daraus ergibt sich meist latente Leichtsinnigkeit, was das Installieren von Software und das sonstige Verhalten im Netz angeht.
Ein Grundschutz vor „Hackern“ (und mehr als nur dieser!) folgt daraus, daß ich meinen PC ordentlich einrichte. Wenn ich das nicht kann, lerne ich das oder lasse es jemanden machen, der sich damit auskennt.
Desweiteren gehört imho dazu, daß ich ein aktuelles Anti-Virus-Produkt besitze und auch benutze(!!!) und ein bewusstes Arbeitsverhalten an den Tag lege (sich von obskuren Seiten weitgehend fernhalten, keine Dateien unbekannten Ursprungs ausführen etc.). DAS macht mich sicher!
Eine PF suggeriert, man müsse sich um all dies keine Gedanken machen. Das stimmt nicht. Sie fördert leichtsinniges und gedankenloses Verhalten. Das ist schlecht.
Ein bewusster User mit Grundwissen über sein System hat i.d.R. nichts zu befürchten. Er braucht keine PF. Sie nützt ihm NICHTS.
Ein leichtsinniger User, der keine Ahnung hat, was er da eigentlich tut, braucht keine PF. Er kann sie nämlich weder konfigurieren noch die Logfiles lesen. Er schadet sich trotz der PF. Sie nützt ihm NICHTS.
Ein Feature jedoch gibt es, welches durchaus sinnvoll ist, aber auch erst seit kurzem und nicht in allen PFs angeboten wird: Eine Art „tripwire“ (so heisst das Unix-Programm, das ähnliches macht), also eine Prüfsumme über die vorhandenen Programme und eine Alarmmeldung, wenn diese Programme verändert werden, z.B. durch unbemerktes Ersetzen. Eine wirklich nette Sache. Die aber nichts in einer PF zu suchen hat und eine ganz unverwandte Funktionalität darstellt. Dafür würd ich mir ein eigenenes, schlankes Tool, welches nichts anderes macht, besorgen.
Bis hierhin habe ich versucht, zu zeigen, daß Personal Firewalls ziemlich überflüssig sind.
Gibt es auch etwas, was konkret dagegen spricht, solch ein Produkt zu benutzen?
Ja, gibt es. Gerade unter Windows Betriebssystemen interagiert Software. Damit meine ich, daß neu installierte Software die bereits vorhandene in ihrer Funktion beeinträchtigen kann, z.B. durch veränderte Registryeinträge oder Austausch von Systemdateien. Und dann viel Spaß bei der Fehlersuche. Eine PF stellt hier eine unnötige zusätzliche Quelle für Fehler dar.
Aber noch etwas: Ihre Funktion an sich kann schon beeinträchtigen. Z.B., wenn man nicht weiß, wie man sie zu konfigurieren hat. Irgendwann einmal auf „Nein“ geklickt und… wie bekomm ich den RealPlayer jetzt dazu, diesen Film zu zeigen? Warum kann ich diese oder jene Website nicht ansehen? Warum funktioniert mein ICQ-Dateitransfer nicht? Wieso kann ich bei manchen Leuten im WinMX nichts runterladen?
Alles Fragen, denen wir auch hier in w-w-w immer wieder begegenen! Und Streß, den man sich hätte sparen können.
Ich will endlich wissen WARUM !
Ich hoffe, es ist rübergekommen, daß es weniger um die Schädlichkeit von PFs geht als viel mehr um ihre Sinnfreiheit.
aber ist es nicht trotzdem besser, die haustür zuzuschließen,
auch wenn sie nur aus dünnem holz ist und kein
sicherheitsschloß hat und die hintertür sowieso immer offen
ist?
Nein, es ist überflüssig. Einfach nur überflüssig. Es wäre gut, die Hintertür einfach zu schließen und die Vordertür ein wenig zu verstärken. Das dauert zwar einen Tag länger, aber dann bringt es auch was.
ich bitte um technische hintergründe (die ich mir sicher auch
mit google suchen könnte, ich will sie aber hier lesen) ohne
dieses bla bla ringsrum.
Ich hoffe, das war nicht zuviel blabla…
[Disclaimer]
Ich bin dieses Thema vorerst etwas leid, und werd mich deshalb aus allem folgenden ausklinken. Auf Kommentare, die sich sachbezogen und direkt auf die Inhalte meines Beitrags hier beziehen, gehe ich selbstverständlich ein.
Über Ergänzungen, Kritik, Fragen, die sich konkret und sachbezogen auf meine Anmerkungen beziehen, freue ich mich!
Ich meine jedes Wort in diesem Text so, wie ich es schreibe. Bitte so lesen und so verstehen. Im Zweifel per Mail nachfragen. Davon ausgenommen sind die vier „Ups!“ weiter oben. Die sind ein wenig überzeichnet, zur Verdeutlichung.
Gruß,
Doc.
, was imho zwei Gründe hat: