Personal Firewalls - Sinnvoll oder Unsinn?

[Berniyh]

Hi,

ich war ein bisschen am überlegen, wegen diesem Thema. Die Ausgangssituation ist die,
dass ich auf meinem Notebook ein Gentoo Linux installiert habe, auf dem im Grunde keine
Dienste laufen, abgesehen von sshd und manchmal Samba, welcher aber ohnehin vom
Provider gefiltert wird. Jetzt hab ich mir überlegt, ob es eigentlich trotzdem sinnvoll ist, eine
Firewall zu installieren (sprich iptables), im Grunde ist das ja eigentlich nicht nötig, solange
keine Dienste nach außen offen sind, oder liege ich da falsch?
Angenommen ich habe ein Gerät, das keinerlei Dienste laufen hat, die auf dem Internet
Interface lauschen, ist dann ein Gerät vom Internet aus überhaupt angreifbar?
Wenn ja, könnte man solch einen Angriff überhaupt durch eine Firewall verhindern?

Ist es nicht eigentlich sinnvoller, entsprechende Services so zu konfigurieren, dass sie nur
auf dem gewünschten Interface lauschen (eben extern und/oder intern) und die Firewall einfach
wegzulassen? Eine Firewall ist ja letztendlich auch nur ein Stück Software, welches Fehler
enthalten kann und so eine Gefährdung bringen kann, oder seh ich das falsch?

 

[PuckPoltergeist]

Der einzige Sinn, den eine Firewall hat, ist hier die Kontrolle des Datenverkehrs von innen nach außen. Um dabei aber wirklich effektiv zu sein, darf sie nicht auf dem zu schützenden Rechner laufen. Hintergrund ist ja, dass man verhindern will, dass unfreiwillig aufgegabelte Schadsoftware nach draußen telefoniert. Und das kann nur funktionieren, wenn die Schadsoftware in keinem Fall in der Lage ist, auch die Firewall zu manipulieren. Eine Personal Firewall kann das prinzipbedingt nicht leisten.
Den Schutz eines Rechners nach außen kann eine Firewall nicht besser leisten, als ohne sie nicht auch möglich wäre. Was nicht benötigt wird, wird abgeschalten, und ist somit nicht angreifbar. Was benötigt wird kann jedoch auch von einer Firewall nicht abgeschottet werden, weil es sonst nicht arbeiten kann.

 

[ITpassion-de]

Die vernünftigste Lösung ist eine Hardwarefirewall z.B. per Router, dann kann weder ein unerwünscher Zugriff von aussen erfolgen noch Daten über nicht freigegebene Ports nach aussen gesendet werden. Und man hat nicht die nervigen Meldungen irgendwelcher Softwarefirewalls die mehr nerven als nutzen.

 

[larsbo]

Na ganz sinnlos finde ich die Firewall nicht. Eine einfache Firewall, die alle ungefragten Anfragen von Außen abblockt, halte ich für sinnvoll. Also das, was die WindowsXP-SP2-Firewall z.B. tut. Oder auch iptables, denke ich. Theoretisch sind sonst auch bei wenigen/keinen Diensten über irgendwelche Sicherheitslücken Angriffe von außen grundsätzlich denkbar. Ein Router mit NAT erfüllt allerdings die gleichen Zwecke. Der leitet schlicht auch nichts weiter, was vorher nicht von innen angefordert wurde.

Eine große Personal Firewall, die auch überwacht, wer oder was vom Rechner aus auf das Internet zugreifen will, ist dagegen in ihrem Nutzen durchaus umstritten. Manche schwören drauf, andere halten sie für schlicht überflüssig und lästig. In jedem Fall ersetzt sie Brain.exe nicht.

 

[Piloboy]

Ich selbst habe auf keinen meiner Rechner eine Firewall. Ich halt es schlichtweg für sinnlos.
Im Router ist eine drin, ob die nun gut funktioniert weis ich nicht, ansonsten ist es eh nur ein Portblocker
In meinen ganzen Jahren hatte ich nie ernsthafte Probleme mit schädlicher Software oder irgendwelchen Angriffen und unter Linux noch überhaupt nicht.
Das einzigste was ich bei mir lokal extra absicher ist der ssh Dienst mit denyhost, da habe ich schon öfters Login Versuche, aber denyhost macht da eine gute Arbeit.

 

[Berniyh]

Na ganz sinnlos finde ich die Firewall nicht. Eine einfache Firewall, die alle ungefragten Anfragen von Außen abblockt, halte ich für sinnvoll. Also das, was die WindowsXP-SP2-Firewall z.B. tut. Oder auch iptables, denke ich. Theoretisch sind sonst auch bei wenigen/keinen Diensten über irgendwelche Sicherheitslücken Angriffe von außen grundsätzlich denkbar. Ein Router mit NAT erfüllt allerdings die gleichen Zwecke. Der leitet schlicht auch nichts weiter, was vorher nicht von innen angefordert wurde.

Eine große Personal Firewall, die auch überwacht, wer oder was vom Rechner aus auf das Internet zugreifen will, ist dagegen in ihrem Nutzen durchaus umstritten. Manche schwören drauf, andere halten sie für schlicht überflüssig und lästig. In jedem Fall ersetzt sie Brain.exe nicht.

Ich habe das aus gutem Grund in diesem Forum gepostet. Was auf Windows gilt ist mir
relativ wurscht. Das Problem bei Windows ist vor allem, dass dort unzureichende Möglichkeiten
bzgl. der laufenden Dienste vorhanden sind.
Unter Linux (o.ä.) hab ich normal eigentlich gar keine Dienste laufen, oder maximal sshd
und ich kann eigentlich jeden Dienst auf bestimmte Interfaces legen, was bei Windows
unter Umständen gar nicht möglich ist. Deswegen kann man unter Windows in einer
etwas anderen Weise darüber diskutieren, ob eine Firewall sinnvoll ist oder nicht.

Aber in dieser Diskussion jetzt bitte nur Linux, BSD, Unix und ähnliches.

 

[PuckPoltergeist]

Na ganz sinnlos finde ich die Firewall nicht. Eine einfache Firewall, die alle ungefragten Anfragen von Außen abblockt, halte ich für sinnvoll. Also das, was die WindowsXP-SP2-Firewall z.B. tut. Oder auch iptables, denke ich. Theoretisch sind sonst auch bei wenigen/keinen Diensten über irgendwelche Sicherheitslücken Angriffe von außen grundsätzlich denkbar. Ein Router mit NAT erfüllt allerdings die gleichen Zwecke. Der leitet schlicht auch nichts weiter, was vorher nicht von innen angefordert wurde.

Eine große Personal Firewall, die auch überwacht, wer oder was vom Rechner aus auf das Internet zugreifen will, ist dagegen in ihrem Nutzen durchaus umstritten. Manche schwören drauf, andere halten sie für schlicht überflüssig und lästig. In jedem Fall ersetzt sie Brain.exe nicht.

Für einen einzelnen Rechner ist ein Paketfilter schlicht überflüssig. Und wie Berniyh schon angemerkt hat, vergrößert jegliches zusätzliche Stück Software das Risiko von Fehlern.

 

[mqss]

Theoretisch sind sonst auch bei wenigen/keinen Diensten über irgendwelche Sicherheitslücken Angriffe von außen grundsätzlich denkbar.

Einem Dienst, der nicht an einem Port lauscht, kann auch keine Mogelpackung untergeschoben werden. Auf einem einzelnen Rechner macht IMHO eine Personal Firewall nicht viel Sinn.

 

[Berniyh]

Einem Dienst, der nicht an einem Port lauscht, kann auch keine Mogelpackung untergeschoben werden. Auf einem einzelnen Rechner macht IMHO eine Personal Firewall nicht viel Sinn.

Das war auch mein Gedankengang, allerdings war ich mir da nicht sicher, ob man es doch
irgendwie so anstellen kann (evtl. mit Hilfe eines Kernel Bugs), oder so.

 

[PuckPoltergeist]

Das war auch mein Gedankengang, allerdings war ich mir da nicht sicher, ob man es doch
irgendwie so anstellen kann (evtl. mit Hilfe eines Kernel Bugs), oder so.

Wenn der Kernelbug verursacht, dass auf dem entsprechenden Port etwas lauscht, obwohl es nicht soll, ist das natürlich möglich. Aber dann ist es genauso möglich, dass dem Packetfilter, welcher den Zugriff auf den Port blockiert auf Grund eines Kernelbugs etwas untergeschoben wird. Genau genommen ist letzteres sogar wesentlich wahrscheinlicher.

 

[Piloboy]

Letzendlich sollte man es doch abwägen, wie hoch die Wahrscheinlichkeit ist, das solche Bugs vorhanden sind und dann auch ausgenutzt werden, ferner kommt ja auch noch hinzu das dann ausgerechnet dieser PC dann angegriffen wird.
Ich glaube 6 Richtige im Lotto könnten mehr bringen

 

[brabe]

Ich hoffe ich darf hier die Frage stellen.
Ich würde gerne bei der Windows Firewall die Einstellung treffen, dass kein Programm nach Aussen Daten senden darf, ohne dass ich damit einverstanden bin. Bei Zonealarm war das immer so, dass ich gefragt wurde, ob Daten gesendet werden dürfen oder nicht. Kann man sowas auch bei der SP2 Firewall machen?

 

[Berniyh]

Ich hoffe ich darf hier die Frage stellen.
Ich würde gerne bei der Windows Firewall die Einstellung treffen, dass kein Programm nach Aussen Daten senden darf, ohne dass ich damit einverstanden bin. Bei Zonealarm war das immer so, dass ich gefragt wurde, ob Daten gesendet werden dürfen oder nicht. Kann man sowas auch bei der SP2 Firewall machen?

Nein, darfst du nicht.
Dafür ist das Windows Forum da, da können dir auch bestimmt eher welche weiterhelfen.

Aber ich meine mich zu erinnern, dass die Windows Firewall keinen ausgehenden Traffic
kontrolliert, allerdings bin ich mir nicht sicher, könnte auch sein, dass sie das doch tut.

 

[mqss]

Die in Windows XP SP 2 integrierte Firewall kann nur eingehenden Verkehr blockieren.

 

[larsbo]

Wenn der Kernelbug verursacht, dass auf dem entsprechenden Port etwas lauscht, obwohl es nicht soll, ist das natürlich möglich. Aber dann ist es genauso möglich, dass dem Packetfilter, welcher den Zugriff auf den Port blockiert auf Grund eines Kernelbugs etwas untergeschoben wird. Genau genommen ist letzteres sogar wesentlich wahrscheinlicher.

Letzteres erfordert aber mindestens zwei bugs, erstmal muss dann der Angreifer durch einen Bug des Paketfilters (ohne c ) hindurch, um den Bug im Kernel ausnutzen zu können.

Eigentlich sehe ich es so, dass heute absolut nichts dagegen spricht, per Router ins Netz zu gehen. Egal unter welchem Betriebssystem. Dann entscheidet hauptsächlich, auf welche Netzdienste man selber aktiv zugreift und damit hauptsächlich brain.exe.

 

[PuckPoltergeist]

Letzteres erfordert aber mindestens zwei bugs, erstmal muss dann der Angreifer durch einen Bug des Paketfilters (ohne c ) hindurch, um den Bug im
Kernel ausnutzen zu können.

Der Bug im Paketfilter ohne c (peinlich, hab ich doch glatt wieder Deutsch und Englisch durcheinander gehauen) ist der Bug im Kernel.

 

[Markus Everson]

Einem Dienst, der nicht an einem Port lauscht, kann auch keine Mogelpackung untergeschoben werden.

Vollkommen richtig. Erstaunlich aber, welche Dienste man sich bei manchen Distributionen einfängt ohne was davon zu ahnen. Und auch ohne SuSE gibts Situationen wo ein Dienst dazu kommt. Gut wenn man dann daran denkt dass der frisch installierte mysql oder der Printerservice auch einen Port offen hält.

@Berniyh: Ist das ein reiner Arbeitslaptop? Dann würde ich auf die FPW verzichten. Wird dagegen auchmal Software ausprobiert gehört sie drauf. Siehe Beispiel mysql.

 

[PuckPoltergeist]

Vollkommen richtig. Erstaunlich aber, welche Dienste man sich bei manchen Distributionen einfängt ohne was davon zu ahnen. Und auch ohne SuSE gibts Situationen wo ein Dienst dazu kommt. Gut wenn man dann daran denkt dass der frisch installierte mysql oder der Printerservice auch einen Port offen hält.

Ja und? Wer sagt denn, dass diese Dienste nach außen angeboten werden müssen?

@Berniyh: Ist das ein reiner Arbeitslaptop? Dann würde ich auf die FPW verzichten. Wird dagegen auchmal Software ausprobiert gehört sie drauf. Siehe Beispiel mysql.

Das ist Blödsinn. Was soll denn die Firewall erreichen?

 

[Berniyh]

@Berniyh: Ist das ein reiner Arbeitslaptop? Dann würde ich auf die FPW verzichten. Wird dagegen auchmal Software ausprobiert gehört sie drauf. Siehe Beispiel mysql.

Ich probiere auch manchmal Software aus, aber wie ich bereits erwähnte bin ich Gentoo
Nutzer und da man da einen Großteil der Konfiguration besser sowieso selbst macht
kann man ja auch gleich richtig konfigurieren, was aber auch bedeutet, dass im Normalfall
eigentlich keine Dienste auf meinem Notebook vom Internet aus verfügbar sind.

Irgendwie, je mehr ich darüber nachdenke, sehe ich eine Firewall immer mehr als Entschuldigung
für fehlerhafte Konfiguration oder die Verwendung von Software, die keine ordentliche
Konfiguration zulässt, zumindest wenn man mal von der Verwendung der Firewall als Mittel
für routing etc. absieht.

Im Übrigen ist der Laptop direkt am Internet, also ohne Router. Sprich das Interface eth0
bekommt die externe IP zugewiesen. Lediglich vom Provider werden eben einige Ports,
die aber auch wirklich nichts im Internet zu suchen haben, gefiltert, z.B. Port 139 und der
Samba Port (bzw. Windows Freigabe).

 

[PuckPoltergeist]

Irgendwie, je mehr ich darüber nachdenke, sehe ich eine Firewall immer mehr als Entschuldigung
für fehlerhafte Konfiguration oder die Verwendung von Software, die keine ordentliche
Konfiguration zulässt, zumindest wenn man mal von der Verwendung der Firewall als Mittel für routing etc. absieht.

Nun, Firewalls machen für die Absicherung von Netzen durchaus Sinn. Auf einem Einzelrechner sind sie aber wirklich nur der Würgaround für schlechte configs.

Im Übrigen ist der Laptop direkt am Internet, also ohne Router. Sprich das Interface eth0
bekommt die externe IP zugewiesen. Lediglich vom Provider werden eben einige Ports,
die aber auch wirklich nichts im Internet zu suchen haben, gefiltert, z.B. Port 139 und der
Samba Port (bzw. Windows Freigabe).

Und deshalb solltest du Dienste, die du nur intern benötigst, halt auch nur an das loopback-device binden. Wenn sie auf eth0 nicht lauschen, können sie auch nicht von außen angegriffen werden.

 

[Berniyh]

Und deshalb solltest du Dienste, die du nur intern benötigst, halt auch nur an das loopback-device binden. Wenn sie auf eth0 nicht lauschen, können sie auch nicht von außen angegriffen werden.

Selbstverständlich. Aber normal laufen ja gar keine Services.

War grad noch am überlegen, wie is das eigentlich mit den Aliases.
Angenommen, ich habe ein Alias angelegt und haben folgende config:
eth0:0
10.0.1.1/24
eth0:1
10.0.2.1/24

Nun habe ich einen Service den ich strickt an eth0:1 binde. Nun kommt der Traffic ja
dennoch über das gleiche Interface (eben eth0). Kann ich dann vom Subnetz 10.0.1.0
trotzdem irgendwie auf den Service zugreifen? Trivialerweise geht das natürlich erstmal
nicht, aber kann man da sicher gehen, dass das mit ein bisschen mehr Aufwand evtl.
doch möglich ist?

 

[Markus Everson]

Ja und? Wer sagt denn, dass diese Dienste nach außen angeboten werden müssen?

Ich sag das mit sicherheit nicht. Und wer sagt dass er seine rechte Hand dafür ins Feuer legt dass _jeder_ dieser Dienste _sofort_ korrekt gebunden wird?

Das ist Blödsinn.

Gut dass Du das mal erwähnt hast.

[/QUOTE] Was soll denn die Firewall erreichen?[/QUOTE]

Sie soll verhindern dass ein fehlconfigurierter Dienst ein Sicherheitsloch aufreißt. So schwer zu verstehen?
.
EDIT :
.

Ich probiere auch manchmal Software aus, aber wie ich bereits erwähnte bin ich Gentoo
Nutzer und da man da einen Großteil der Konfiguration besser sowieso selbst macht
kann man ja auch gleich richtig konfigurieren

Klar. Kann man. Wenn man kann.

was aber auch bedeutet, dass im Normalfall
eigentlich keine Dienste auf meinem Notebook vom Internet aus verfügbar sind.

Nur dass "eine Software installieren" eben nicht der Normalzustand ist. Sofern Du nicht mit göttlicher Inspiration ausgestattest bist wirst auch Du früher oder später mal einen Fehler bei der Konfiguration machen (oder auf eine fehlerhafte Dokumentation hereinfallen). Sofern Du nicht mit göttlicher Inspiration ausgestattet bist wirst auch Du irgendwann mal im Eifer eines Tests vergessen nach offenen Ports zu suchen und angreifbar sein.

Unwahrscheinlich? Ja. Unmöglich? Nein.

Irgendwie, je mehr ich darüber nachdenke, sehe ich eine Firewall immer mehr als Entschuldigung
für fehlerhafte Konfiguration oder die Verwendung von Software, die keine ordentliche
Konfiguration zulässt

Airbag und Sicherheitsgurt sind folgerichtig als Entschuldigung für fehlerhaften Fahrstil oder die Benutzung defekter Autos abzulehnen.

Im Übrigen ist der Laptop direkt am Internet, also ohne Router.

Ist das nicht selbstverständlich? Hinter einem Router ist selbst eine Windose nicht mehr sehr anfällig für Angriffe von außen.

Sprich das Interface eth0
bekommt die externe IP zugewiesen. Lediglich vom Provider werden eben einige Ports,
die aber auch wirklich nichts im Internet zu suchen haben, gefiltert, z.B. Port 139 und der
Samba Port (bzw. Windows Freigabe).

[OT]
Ist zwar erst mal sehr bequem, aber nur die Vorstufe um auch die gefährlichen Ports 21 und 25 zu sperren. Daher lehne ich sowas entschieden ab.
Welcher Provider ist das?

 

[PuckPoltergeist]

Sie soll verhindern dass ein fehlconfigurierter Dienst ein Sicherheitsloch aufreißt. So schwer zu verstehen?

Genau hier liegt der Fehler im Design. Ein Dienst, welcher fehlerhaft sein kann oder falsch konfiguriert ist, ist eine potentielle Fehlerquelle. Eine Firewall dazu zu nehmen, welche auch falsch konfiguriert oder fehlerhaft sein kann, fügt eine zweite Schwachstelle hinzu. Man gewinnt keine Sicherheit, sondern vergrößert die Unsicherheit. Korrekt ist es, die installierten Dienste ordentlich abzusichern, auf dem aktuellen Stand zu halten, und auch selber zu überprüfen. Es ist nicht schwer, den eigenen Rechner dahingegen abzuklopfen, was alles nach außen lauscht. Ist es mehr als vorgesehen, muss man das beheben, und nicht eine Firewall zur Blockade hinzustellen. Denn bedenke auch immer, der abgeschaltete Dienst ist von außen nicht mehr erreichbar. Die Firewall ist hingegen auf der gesamten Bandbreite angreifbar. Und wenn da ein Fehler drin steckt, sitzt der Angreifer gleich im Kernel.

 

[larsbo]

Die Firewall ist hingegen auf der gesamten Bandbreite angreifbar. Und wenn da ein Fehler drin steckt, sitzt der Angreifer gleich im Kernel.

Technische Frage: Ließe sich nicht eine Firewall auch komplett im user-space betreiben?

 

[Berniyh]

Nur dass "eine Software installieren" eben nicht der Normalzustand ist. Sofern Du nicht mit göttlicher Inspiration ausgestattest bist wirst auch Du früher oder später mal einen Fehler bei der Konfiguration machen (oder auf eine fehlerhafte Dokumentation hereinfallen). Sofern Du nicht mit göttlicher Inspiration ausgestattet bist wirst auch Du irgendwann mal im Eifer eines Tests vergessen nach offenen Ports zu suchen und angreifbar sein.

Unwahrscheinlich? Ja. Unmöglich? Nein.

Natürlich kann man immer Konfigurationsfehler machen, jedoch mache ich bei Diensten,
die dann auf irgendeinem Port lauschen im Normalfall immer noch einen Netzwerkcheck,
z.B. via Heise, wo man eben die entsprechenden Ports scannen lässt. Dann sieht man ja,
ob ein entsprechender Port offen ist oder geschlossen. Ich mache diese Tests übrigens
auch so manchmal, zur Sicherheit, ich bin mir zwar sehr gut darüber im Klaren, was für
Software auf meinem Rechner läuft, aber sicher ist sicher.

Anders sieht das natürlich bei Distributionen wie Suse oder ähnlichen aus, wo unter
anderem bei der Installation dann diverse Dienste, oft auch ohne angepasste Konfiguration
standardmäßig beim booten geladen werden. Die wurden dafür aber auch schon oft genug
kritisiert, dass das evtl. nicht die beste Lösung ist.

Airbag und Sicherheitsgurt sind folgerichtig als Entschuldigung für fehlerhaften Fahrstil oder die Benutzung defekter Autos abzulehnen.

Im Prinzip hast du mit deinem Vergleich recht, nur ist der Unterschied, dass du beim Auto
auch dann Gefahren ausgesetzt bist, wenn du selbst keine Fehler machst.
Von daher hinkt der Vergleich ein wenig.
Wenn man davon ausgeht, dass der einzige Grund einen Unfall zu bauen bei einem selbst
liegt (was natürlich Quatsch ist), dann kann man den Sicherheitsgurt weglassen, insofern
man nicht gerade dabei ist Harakiri zu begehen.

Ist das nicht selbstverständlich? Hinter einem Router ist selbst eine Windose nicht mehr sehr anfällig für Angriffe von außen.

Ich wollte das nur noch mal klar stellen, aber im Prinzip geht es mir gar nicht mal so sehr
um mein Notebook, sondern auch allgemein um den Sinn oder Unsinn von Firewalls.

Ist zwar erst mal sehr bequem, aber nur die Vorstufe um auch die gefährlichen Ports 21 und 25 zu sperren. Daher lehne ich sowas entschieden ab.
Welcher Provider ist das?

Das ist doch Quatsch.
Die Sperrung der Ports 139 und 445 (glaube ich, bin mir nicht ganz sicher) wir unter anderem
vorgenommen, weil die Nutzung dieser Ports per Internet schlicht keinen Sinn macht.
Das sind Ports, die höchstens in LANs zu nutzen sind.
FTP und SMTP sind hingegen Ports, die im Internet Sinn machen, deswegen würde auch
kein Provider auf die Idee kommen, diese zu sperren.
Der Provider ist übrigens KabelBW.