Personal Firewall ja oder nein?

Hi!

Aber wie? Wenn ich eine Solaris- oder Linux-Maschine oder
einen Mac einrichte, dann weiß ich, wann das System sicher ist
und wie ich das bewerkstelligen und testen soll.

Wenn ich eine Windows-Maschine sicher machen soll, stehe ich
jedesmal ein bisschen dämlich da, weil ich schlichtweg zu
wenig Ahnung davon habe. Ich weiß zwar, wo alle Knöbbscher
sind. Ich bin aber jedesmal unsicher, ob ich nun wirklich
alles so gesichert habe, dass es erstens gut so ist und
zweitens der Kasten danach noch läuft.

… siehst du, das genau meinte ich, ich z.B. kann niemand wirklich helfen der mit Linux Probleme hat, aber ich würde dabei nie Linux verteufeln, weil ich einfach noch zuwenig davon weiss und versteh…
… aber umgekehrt wird es in diesen Forum sehr wohl praktiziert und das stört mich irgendwie, soll doch jeder in seiner Weise glücklich werden…

Gruß Franz

Hi,

… siehst du, das genau meinte ich, ich z.B. kann niemand
wirklich helfen der mit Linux Probleme hat, aber ich würde
dabei nie Linux verteufeln, weil ich einfach noch zuwenig
davon weiss und versteh…

… aber umgekehrt wird es in diesen Forum sehr wohl
praktiziert und das stört mich irgendwie, soll doch jeder in
seiner Weise glücklich werden…

Das siehst Du nicht ganz richtig, denke ich.
Es kommt hier sogar ausgesprochen selten vor, daß jemand gegen Windows o.ä. wettert, der davon keine Ahnung hat.

Was jedoch vorkommt, ist, daß hier Leute von Software abraten, die sie ohne weiteres als tendenziell unsicher und problemerzeugend einschätzen können und für die sie bessere Alternativen kennen - dafür muß man die Schrott-Software nicht sicher machen können. Das geht nämlich in Bezug auf OE und IE gar nicht; ich verweise in diesem Zusammenhang nochmals auf die unpatchbaren Sicherheitslücken.

Und ganz selbstverständlich darf jeder auf seine Weise glücklich werden. Jemand, dem Sicherheit wichtig ist, wird das aber nicht, solang er IE/OE einsetzt. Da wird schlicht etwas erwartet, was es nicht gibt.

Gruß,

Malte.

Hallo,

Und ganz selbstverständlich darf jeder auf seine Weise
glücklich werden.

Ja, aber:

Wenn derjenige mir die Mailbox vollhämmert, weil sein (für ihn?) unbeherrschbares Betriebssystem dank ‚benutzerfreundlicher‘ Automatismen mir Programme zuspielt die ich nicht haben will (und die hier auch nicht laufen), hört für mich der Spaß auf. Ich zahle nicht für den Traffic auf dem Mailserver, aber die langsame Verbindung zu mir geht voll auf meine Kosten.

Sebastian

Hallo,

Hi,

Ich zahle nicht für den
Traffic auf dem Mailserver, aber die langsame Verbindung zu
mir geht voll auf meine Kosten.

frank@harbard [~] $ telnet zion.home.manuelm.org 143
Trying 192.168.1.1...
Connected to zion.home.manuelm.org.
Escape character is '^]'.
\* OK zion Cyrus IMAP4 v1.5.19 server ready
a001 login frank ThisIsMyVerySecrete
a001 OK User logged in
a002 select inbox
\* FLAGS (\Answered \Flagged \Draft \Deleted \Seen)
\* OK [PERMANENTFLAGS (\Answered \Flagged \Draft \Deleted \Seen \*)] 
\* 39 EXISTS
\* 0 RECENT
\* OK [UNSEEN 39] 
\* OK [UIDVALIDITY 1054909791] 
a002 OK [READ-WRITE] Completed
a003 fetch 29 body[header.fields (X-Mailer)]
\* 29 FETCH (BODY[HEADER.FIELDS (X-Mailer)] {54}
X-Mailer: Microsoft Outlook Express 6.00.2600.0000

)
a003 OK Completed
a004 logout
\* BYE LOGOUT received
a004 OK Completed
Connection closed by foreign host.
frank@harbard [~] $ 

Sollte auch ueber langsame Verbindungen recht flott gehen… vielleicht. Oder so aehnlich.

SCNR,
Gruss vom Frank.

Hallo Xantia,

Ich weiß zwar, wo alle Knöbbscher

sind. Ich bin aber jedesmal unsicher, ob ich nun wirklich
alles so gesichert habe, dass es erstens gut so ist und
zweitens der Kasten danach noch läuft.

seit zehn Jahren administriere ich Windows-Netzwerke, und dennoch geht es mir genau so wie Stefan. Microsoft dokumentiert seine Produkte nicht. Zwar sind die entspr. Entwicklerdatenbanken bei MS wirklich gut bestückt, und zu jedem Problem finde ich einen Workaround. Eben. Workaround ist keine Lösung.

Ich habe ein stabiles System auf nt4/w2k/xp Basis, alles läuft wunschgemäss und sauber. Jetzt installiere ich MS-Office. Warum ist mein System jetzt kaputt? Warum kann der Benutzer, der eben noch mit F3 im Explorer nach Dateien suchen konnte, dies jetzt nicht mehr? Warum kann er auf ein mal keine Mail mehr verschicken…? Mit Problemen dieser Art schlage ich mich Tag für Tag herum.

… siehst du, das genau meinte ich, ich z.B. kann niemand
wirklich helfen der mit Linux Probleme hat, aber ich würde
dabei nie Linux verteufeln, weil ich einfach noch zuwenig
davon weiss und versteh…

Ich verteufele Windows nicht, ich arbeite tatsächlich privat lieber unter einer schlanken Windows-Oberfläche (kann man einstellen), als unter einem fetten KDE (kann man auch einstellen, bin ich aber vielleicht zu doof dazu).

Tatsache ist aber, dass Windows erhebliche architekturbedingte Mängel aufweist. Tatsache ist, dass Microsoft Kopfgelder aussetzt http://www.heise.de/newsticker/result.xhtml?url=/new… um diejenigen einzuschüchtern, die diese Mängel offenlegen, statt auch nur einen Bruchteil dieses Geldes in die Behebung dieser Mängel zu stecken.

Der Internet Explorer ist ursprünglich für den Einsatz in internen, vertrauenswürdigen Unternehmensnetzwerken entwickelt worden. Für den Einsatz im Internet war er von seiner grundlegenden Architektur her nie geeignet. Microsoft war sich aber im Marktkampf ggüber Netscape zu schade dafür, seine Kunden auch nur entsprechend zu warnen, geschweige denn, den Mängeln abzuhelfen.

Die Entscheidungen bei MS werden auf unternehmerischer Basis getroffen, die Wünsche der Kunden anhand der Bilanz festgestellt. Das ist in einer Marktwirtschaft (und was anderes will wohl kaum einer ernsthaft) auch okay. Das Problem ist, dass die Kosten der Mängel der Microsoftschen Produkte sozialisiert werden. Und die ersten, die das merken (auch wenn es mein pers. Potemonnaie nicht, wohl aber meine tägliche Arbeit betrifft), sind nun mal diejenigen, die sich hauptberuflich mit der Datenverarbeitung auseinander setzen.

Es ist wohl durchaus im Sinne dieses Forums, dass diese Leute sich hier einbringen. Und das die dann ggüber MS und Windows und IE und Outlook Express und und und eine überaus reservierte Haltung an den Tag legen, ist wohl verständlich.

Gruss,
Schorsch

Hallo,

Hi,

Ich zahle nicht für den
Traffic auf dem Mailserver, aber die langsame Verbindung zu
mir geht voll auf meine Kosten.

:frank@harbard [~] $ telnet zion.home.manuelm.org 143

Das geht ja im Klartext über’s Netz. Unschön

docvalde@gwendoline:~$ ssh [email protected]
Password:
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
 The Regents of the University of California. All rights reserved.

FreeBSD 4.8-RELEASE (CROWDKERN) #1: Thu May 1 12:27:09 CEST 2003

Handy bash(1) prompt: PS1="\u@\h \w \!$ "
 -- David Scheidt 

docvalde@crowd:~ $ls /var/db/pkg/ | grep mutt
mutt-1.4.1\_4
docvalde@crowd:~ $

SCNR2,

Malte

Hallo,

Das geht ja im Klartext über’s Netz. Unschön

niehaus@corrosive:~ \> /usr/ssl/bin/s\_client -connect mail.socha.net:993
CONNECTED(00000003)
_[...]_

SSL handshake has read 921 bytes and written 299 bytes
---
New, TLSv1/SSLv3, Cipher is DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
 Protocol : TLSv1
 Cipher : DES-CBC3-SHA
 Session-ID: E9999D24A47371BFAE66AE0A8EA5079B781AB7AB0DFA6BCCEF1F11E6ECB4782C
 Master-Key: 185FE20FB89AE888ABAED03132312C680510A090CF5F40AD13B112E79979184EA51E0504916BDECE2192245997E5A936
 Key-Arg : None
 Start Time: 1070342434
 Timeout : 7200 (sec)
---
\* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN] Courier-IMAP ready. Copyright 1998-2003 Double Precision, Inc. See COPYING for distribution information.

niehaus@corrosive:~ > /usr/ssl/bin/s_client -connect
mail.socha.net:993

Oder einfach so:

sschuste@stderr:~\> scp sschuste@devnull:/var/spool/mail/sschuste .
sschuste@devnull's password:
sschuste 100% |\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*| 29182 00:00
sschuste@stderr:~\> less sschuste

SC auch NR
Stefan

> sschuste@stderr:~\> scp  
> sschuste@devnull:/var/spool/mail/sschuste .  
> sschuste@devnull's password:  
> sschuste 100%  
> |\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*|  
> 29182 00:00  
> sschuste@stderr:~\> less sschuste

Q: „What’s your favourite (graphical or textual) mail program?“
A: „What mail program? I grep my mailspool.“ (Gelesen im gentoo forum.)

Aber dann laedt er ja die grosse Datei mit dem Virus, der eh nicht bei ihm laeuft, trotzdem durch die duenne Leitung runter. Es ging darum, sie direkt auf dem server zu loeschen.

SC auch NR

Red’ nicht, Du hast den gag versaut.
Gruss vom Frank.

> > sschuste@stderr:~\> scp  
> > sschuste@devnull:/var/spool/mail/sschuste .  
> > sschuste@devnull's password:  
> > sschuste 100%  
> > |\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*|  
> > 29182 00:00  
> > sschuste@stderr:~\> less sschuste

Naja, sowas macht man aber dann eher mit rsync über SSH.

Aber dann laedt er ja die grosse Datei mit dem Virus, der eh
nicht bei ihm laeuft, trotzdem durch die duenne Leitung
runter. Es ging darum, sie direkt auf dem server zu loeschen.

Ein trainierter SpamAssassin hat auch was für sich…

Gruß,

Sebastian

Nun ja, nicht ganz…
Natürlich hast Du Recht damit, dass mir eine wie auch immer geartete Sicherheitssoftware keinen 100% Schutz bietet. Was den Stealth mode angeht, ist es natürlich richtig, dass ein Angreifer durch gedroppte Pakete Hinweise bekommen kann. Das ist allerdings eine Frage der Konfiguration. Da kann ich ebensogut ein „service not available“ zurückgeben.

Eine Personal Firewall bietet allerdings schon einige Vorteile. So kann ich definieren, welche Applikationen von mainem lokalen Rechner auf das Internet zugreifen dürfen. Da werden sich einige wundern, welche Services dea so alle ungefragt einen kleinen Schwatz mit dem Netz halten.

Zudem bieten diese Produkte oft weitere vorzüge wie POPUP-Blocker, Werbefilter oder einen zumindest rudimentären Mail-Spamschutz.
Zu giter letzt kann auch noch überwacht werden, ob irgendwelche Serverdienste auf den System laufen und ob diese das auch dürfen.

Viele diese Dinge sind gerade für Anwender, die sich nicht täglich mit der Technik auseinandersetzen sehr hilfreich.

Richtig ist bnatürlich auch, das jede Sicherheitsbarriere Angriffe nur verzögern kann, um die Chance der Entdeckung zu erhöhen. Ein Device, dass jeglichen Angriff sicher abwehrt, gibt es leider noch nicht.

Hallo Martin

Natürlich hast Du Recht damit, dass mir eine wie auch immer
geartete Sicherheitssoftware keinen 100% Schutz bietet. Was
den Stealth mode angeht, ist es natürlich richtig, dass ein
Angreifer durch gedroppte Pakete Hinweise bekommen kann. Das
ist allerdings eine Frage der Konfiguration. Da kann ich
ebensogut ein „service not available“ zurückgeben.

Erstens muss man dazu aber bereits ein gewisses Know How besitzen. Zweitens ändert das nichts an der Tatsache, dass die Werbe-Aussage vom ‚unsichtbar sein‘ schlicht eine Lüge ist.

Eine Personal Firewall bietet allerdings schon einige
Vorteile. So kann ich definieren, welche Applikationen von
mainem lokalen Rechner auf das Internet zugreifen dürfen. Da
werden sich einige wundern, welche Services dea so alle
ungefragt einen kleinen Schwatz mit dem Netz halten.

Es ist nur leider völlig ungewiss, wie viele solche Zugriffe von der PFW erkannt und geblockt werden und wie viele auf diversen Wegen unbehelligt an der PFW vorbeikommen.

Zudem bieten diese Produkte oft weitere vorzüge wie
POPUP-Blocker, Werbefilter oder einen zumindest rudimentären
Mail-Spamschutz.

Da ist es IMHO sinnvoller, einen vernünftigen Browser [tm] wie z.B. Mozilla zu verwenden, da ist schon ein Popup-Blocker drin. Und gegen Spams hilft etwas wie Spampal besser.

Zu giter letzt kann auch noch überwacht werden, ob
irgendwelche Serverdienste auf den System laufen und ob diese
das auch dürfen.

Für Dienste, die vom Internet her zugänglich sind, gibt es zwei Möglichkeiten: Entweder man will diese Dienste anbieten. Dann ist man selber für deren korrekte Konfiguration verantwortlich. Oder man will sie nicht anbieten. Dann ist es besser, diese Dienste zu beenden, statt sie mittels PFW verbergen zu wollen.

Viele diese Dinge sind gerade für Anwender, die sich nicht
täglich mit der Technik auseinandersetzen sehr hilfreich.

Genau das ist der grosse Irrglaube. Damit man eine PFW einigermassen sinnvoll einsetzen und konfigurieren kann und damit man allfällige Meldungen bzw. Logfile-Einträge versteht, benötigt man Wissen. Ohne dieses Wissen ist es grobfahrlässig sich eine Software zu installieren, von der man nicht weiss, was sie macht bzw. deren Meldungen man nicht versteht.

Ein Device, dass jeglichen Angriff sicher abwehrt,
gibt es leider noch nicht.

Das grösste Problem ist, dass es längst nicht so viele echte ‚Angriffe‘ gibt, wie das die PFW oftmals glauben machen will. Die Dinger neigen nämlich dazu, jeden Ping als ‚Angriff‘ zu melden, was schlicht Verarschung ist. Dadurch werden wiederum die Leute, die keine Ahnung haben, verunsichert.

CU
Peter

Hallo,

Natürlich hast Du Recht damit, dass mir eine wie auch immer
geartete Sicherheitssoftware keinen 100% Schutz bietet. Was
den Stealth mode angeht, ist es natürlich richtig, dass ein
Angreifer durch gedroppte Pakete Hinweise bekommen kann. Das
ist allerdings eine Frage der Konfiguration. Da kann ich
ebensogut ein „service not available“ zurückgeben.

Du meinst, sie das Verhalten eines Rechners imitieren, der Personel keine Firewall hat?

Nettes Pronzip: eine Software, die ihre Nichtexistenz simuliert.

Eine Personal Firewall bietet allerdings schon einige
Vorteile. So kann ich definieren, welche Applikationen von
mainem lokalen Rechner auf das Internet zugreifen dürfen. Da
werden sich einige wundern, welche Services dea so alle
ungefragt einen kleinen Schwatz mit dem Netz halten.

Was bringt Dich auf die Idee, daß es kompliziert wäre, soetwas zu umgehen?

Zudem bieten diese Produkte oft weitere vorzüge wie
POPUP-Blocker,

Hmm. Falscher Browser…?

Zu giter letzt kann auch noch überwacht werden, ob
irgendwelche Serverdienste auf den System laufen und ob diese
das auch dürfen.

Wenn die Firewall zufällig gereade funktioniert. Und diese Serverdienste nicht die Personal Firewall deaktiviert haben.

Viele diese Dinge sind gerade für Anwender, die sich nicht
täglich mit der Technik auseinandersetzen sehr hilfreich.

Hilfreich im Sinne von „ich muß mir über Sicherheit Null gedanken machen und bekomme deshalb keinen Herzinfarkt“?

Ich habe bei Deinen Ausführungen immernochnicht verstanden, wo nun genau die Firewall ein Sicherheitsproblem nachhaltig eliminiert.

Richtig ist bnatürlich auch, das jede Sicherheitsbarriere
Angriffe nur verzögern kann, um die Chance der Entdeckung zu
erhöhen. Ein Device, dass jeglichen Angriff sicher abwehrt,
gibt es leider noch nicht.

Ein Devive, was zufäliges Knistern als Angriff wertet nennt man dhingegen „Personal Firewall“ und wird als probates Mitel gegen Sicherheitsprobleme verkauft.

Aua.

Sebastian

In der Tat,

Da werden sich einige wundern, welche Services dea so alle
ungefragt einen kleinen Schwatz mit dem Netz halten.

unter Windows ab w2k ist das tatsächlich ein nicht unerhebliches Problem. Einzige mögliche Abhilfe: entsprechende Dienste deaktivieren. Leider auch hier, wie immer bei MS-Produkten, gibt es keine für den Home-Anwender erreichbare/verständliche Dokumentation. Also - welche Dienste deaktivieren?

Zu giter letzt kann auch noch überwacht werden, ob
irgendwelche Serverdienste auf den System laufen und ob diese
das auch dürfen.

Richtig. Aber hier redest du von einer Firewall. Thema des Threads ist aber doch die „Persönliche“ Firewall.

Viele diese Dinge sind gerade für Anwender, die sich nicht
täglich mit der Technik auseinandersetzen sehr hilfreich.

Soll’n der z. B. mit 172.16.0.1 12/01/03 12:44:11 Accounting.Information ACCT: INET: 01.12.2003 12:43:45 0 17 169.254.52.174:137/1000 -> 169.254.255.255:137/9020 2 192 0 0
anfangen können? Die meisten Minesweeper Consultants and Solitair Experts kennen kein apipa, was macht der „technikfremde“ Anwender mit so 'ner Meldung?

Gruss,
Schorsch

Hallo Schorsch

unter Windows ab w2k ist das tatsächlich ein nicht
unerhebliches Problem. Einzige mögliche Abhilfe: entsprechende
Dienste deaktivieren. Leider auch hier, wie immer bei
MS-Produkten, gibt es keine für den Home-Anwender
erreichbare/verständliche Dokumentation. Also - welche Dienste
deaktivieren?

http://www.ntsvcfg.de/ -> Batch Script, welches die Dienste nach Art von http://www.kssysteme.de konfiguriert. Und unter http://www.different-thinking.de/windows_2000_dienst… gibts Informationen über die einzelnen Dienste von Windows 2000, was zumindest teilweise auch auf XP passt.

CU
Peter

Es gibt ja noch weitere Einsatzgebiete, als den Homeuser.
Mobile Anwender beispielsweise, die sich über ein VPN in das Firmennetzwerk einwählen. Hier sind Personal-FW Komponenten oft Bestandteil des VPN-Clients.

Sie weren per Policy vom VPN-GW konfiguriert und der Anwender hat so wenig mit der Konfig zu tun.

Hallo Martin

Mobile Anwender beispielsweise, die sich über ein VPN in das
Firmennetzwerk einwählen. Hier sind Personal-FW Komponenten
oft Bestandteil des VPN-Clients.

Ist mir zwar neu, wie da eine PFW hilft. Aber ich kenne mich mit VPN auch nicht so genau aus. Was aber wesentlich ist, sagst Du selber: ‚Bestandteil des VPN-Clients‘. Die PFW ist also nicht die einzige Massnahme, die VPN-Vergindung zu sichern.

Das ist das Entscheidende. Wenn sich jemand, auch ein Home-User sollte das tun, ein Konzept erarbeitet, wie er sich bzw. seinen Computer vor potentiellen Gefahren absichern will, eine PFW als Bestandteil dieses Konzepts einplant, ist das durchaus ok. Denn es ist dann nicht die einzige Schutzmassnahme, sondern eine von vielen.

Deine pauschale Empfehlung für PFW dagegen impliziert einen Nutzen als alleinige Massnahme für Leute ohne hinreichende Ahnung. Und das ist halt schlicht Blödsinn.

CU
Peter

Haeh? Mich deucht, Du bist sehr verwirrt. Wir machen hier VPN mit IPsec und PPTP, aber eine personal firewall brauchen wir dabei wie Graeten im Joghurt. PPTP koennen alle Betriebsysteme von Microsoft seit Windows 9x. Da es aber enorme Probleme mit Uebertragungsfehlern hat, wird jetzt IPsec mit X509 verwendet. Aeltere Windows haben das nicht dabei, da ist wirklich Zusatzsoftware notwendig. Das hab ich jetzt nicht direkt gemacht, aber es wuerde mich sehr wundern, wenn das eine personal firewall waere.

Und der Anwender hat, will er sich am gateway (Linux mit FreeSWAN) anmelden, gefaelligst die Finger von der config zu lassen.[1]

Also, welche konkrete Implementation von VPN, bei der eine personal firewall irgendwie unterstuetzt, meinst Du jetzt genau?

Erstaunten
Gruss vom Frank.
===footnotes===
[2] Ein echter Krampf, wenn die kaputten Windows-Buechsen ihre routinemaessige Neuinstallation brauchten und die user dabei das Zertifikat verbummelt haben…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]