Personal Firewalls - Sinnvoll oder Unsinn?

PuckPoltergeist

Grand Admiral Special
Mitglied seit
18.01.2002
Beiträge
16.734
Renomée
145
Standort
Ilmenau
Technische Frage: Ließe sich nicht eine Firewall auch komplett im user-space betreiben?

An sich wäre das schon machbar, aber nur mit immensen Aufwand. Die Firewall müsste dann selber sämtliche Netzwerk-Interfaces des OS belegen und ihrerseits Interfaces für die Anwendungen anbieten. Das wiederum bedeutet, dass die Anwendungen darauf hin ausgerichtet sein müssen, da sie dann andere Interfaces benutzen müssen.
 

Markus Everson

Grand Admiral Special
Mitglied seit
22.10.2004
Beiträge
6.788
Renomée
270
Standort
Deutschland
PuckPoltergeist schrieb:
Genau hier liegt der Fehler im Design. Ein Dienst, welcher fehlerhaft sein kann oder falsch konfiguriert ist, ist eine potentielle Fehlerquelle. Eine Firewall dazu zu nehmen, welche auch falsch konfiguriert oder fehlerhaft sein kann, fügt eine zweite Schwachstelle hinzu.

Du unterstellst mir sofort dass ich im blinden vertrauen auf die scheinbare Sicherheit einer Firewall den Dienst falsch konfiguriert laufen lasse.

Das ist aber nicht meine Intention. Ich empfehlen lediglich, sicher ausschließen dass eine Fehlkonfiguration, auch wenn sie nur kurz dauert, ein Sicherheitsloch nach außen öffnet.

Korrekt ist es, die installierten Dienste ordentlich abzusichern, auf dem aktuellen Stand zu halten, und auch selber zu überprüfen.

Richtig. Aber wir reden hier von der wirklichen Welt, ja? Das ist die Welt in der Menschen Fehler machen und auch mal einen Fehler übersehen und auch mal abgelenkt werden. In der ein Fehler mithin üblicherweise aber eben nicht zuverlässig in kürzester Zeit behoben wird.

Wenn wir auf Arbeit neue Softwareversionen ausrollen...dann gibts ein Drehbuch, genau abgestimmte Tasks, vier-Augen-Prinzip und einen unabhängigen Verantwortlichen der auf die Uhr schaut. Und selbst damit kommts noch vor dass was übersehen wird. Ich gehe davon aus, das im privaten Umfeld auf einem Laptop auf dem auch mal was getestet wird früher oder später ein Dienst eine Zeitlang aufgemacht wird ohne dass das _sofort_ bemerkt wird. Und genau in diesem unwahrscheinlichen Fall kann die PFW auch unter Linux hilfreich sein.

Möglicherweise sollte die aber wirklich aus den von Dir genannten Gründen nur zeitweise eingeschaltet werden.
.
EDIT :
.

Berniyh schrieb:
Natürlich kann man immer Konfigurationsfehler machen, jedoch mache ich bei Diensten, die dann auf irgendeinem Port lauschen im Normalfall immer noch einen Netzwerkcheck,
z.B. via Heise, wo man eben die entsprechenden Ports scannen lässt.

netstat -an | grep TCP

geht schneller und ist nicht davon abhängig dass auch Dein Provider den Port durchläßt.

Wenn man davon ausgeht, dass der einzige Grund einen Unfall zu bauen bei einem selbst
liegt (was natürlich Quatsch ist), dann kann man den Sicherheitsgurt weglassen, insofern
man nicht gerade dabei ist Harakiri zu begehen.

Das ist eine sehr sehr kurzsichtige Sichtweise. Menschen machen naturgemäß Fehler. Einen Augenblick unachtsam, einen Moment lang in Gedanken, einmal beim überholen den Schulterblick vergessen - und schon _kanns_ knallen.

(Der Schulterblick ist ein sehr sehr gutes Beispiel. Mindestens zwei Autofahrern bin ich dankbar dass sie meinen Fehler ausgebügelt haben ohne dass es geknallt hat)

Ich wollte das nur noch mal klar stellen, aber im Prinzip geht es mir gar nicht mal so sehr
um mein Notebook, sondern auch allgemein um den Sinn oder Unsinn von Firewalls.

Dann bist Du unter "Alternative Betriebssystem und Software" fehl am Platz. Unter Windows sieht das ganze völlig anders aus.


Das ist doch Quatsch.

Gut dass Du das mal festgestellt hast.

Die Sperrung der Ports 139 und 445 (glaube ich, bin mir nicht ganz sicher) wir unter anderem
vorgenommen, weil die Nutzung dieser Ports per Internet schlicht keinen Sinn macht.

Würdest Du bitte mir überlassen welche Ports ich für sinnvoll erachte und welche nicht?

Ports sind genau das was der Name sagt - Ports. Ich kann _jeden_ denkbaren Dienst auf _jeden_ Port legen wenn ich das will und mit den Konsequenzen leben kann. Wenn Du Dich in einem vorgefilterten Internet-Kindergarten wohl fühlst ist das durchaus legitim, aber sage mir bitte nicht dass es Quatsch ist wenn ich darauf bestehe bei "Internet-Zugang" nicht eine Anzahl von Ports willkürlich gesperrt zu bekommen.

Das sind Ports, die höchstens in LANs zu nutzen sind. FTP und SMTP sind hingegen Ports, die im Internet Sinn machen

Du bist herzerfrischen blauäugig.

a) Dein Provider hat Dir gerade erfolgreich Portsperren als ein notwendiges Mittel zu Deinem Schutz verkauft.

b) Dein Provider mag FTP nicht weil damit hohe Datenmengen abgerufen werden können für die er nix extra bekommt und für deren Volumen er trotzdem zahlen muss

c) Dein Provider mag SMTP nicht weil er Dir gerne das Postfach auf seinem Mailserver (gewinnbietend) anbieten möchte

d) also verkündet er als nächstes das er - natürlich nur zu Deinem Schutz - den gefährlichen Port für FTP (Raubmordkopierer) und SMTP (Spam) gesperrt hat.

, deswegen würde auch
kein Provider auf die Idee kommen, diese zu sperren.

Wach auf und rieche Knoblauch, mein Freund. Es gibt bereits Provider die FTP blockieren bzw. ausbremsen. Allerdings nicht in D, soweit bekannt.

Der Provider ist übrigens KabelBW.

Danke für die Warnung. Ist das Vertragsbestandteil oder macht er das einfach so?
 

Pilli

Grand Admiral Special
Mitglied seit
18.10.2002
Beiträge
2.242
Renomée
16
Standort
köln
@Markus Everson: Kanns sein, dass du davon ausgehst, dass, wenn ich einen Dienst über den Paketmanager der Distribution installiere, dieser Dienst auch noch vom Paketmanager gestartet wird? Debians apt-get machts, wenn ich mich richtig erinnere, so. Ich meine, Gentoos Portage aber nicht, d.h. wenn du da den Dienst von Hand startest, ohne dich um die Konfiguration gekümmert zu haben, ist das dein persönliches und eigenes Problem.
 

PuckPoltergeist

Grand Admiral Special
Mitglied seit
18.01.2002
Beiträge
16.734
Renomée
145
Standort
Ilmenau
Du unterstellst mir sofort dass ich im blinden vertrauen auf die scheinbare Sicherheit einer Firewall den Dienst falsch konfiguriert laufen lasse.
Das tue ich nicht. Ich sage, dass du bestenfalls einen angreifbaren Dienst durch einen anderen ersetzt. Schlimmstenfalls erhöhst du sogar die Angriffsfläche, wenn die Firewall nicht korrekt filtert. Sicherheit lässt sich nicht dadurch erhöhen, in dem man die Komplexität vergrößert.

Richtig. Aber wir reden hier von der wirklichen Welt, ja? Das ist die Welt in der Menschen Fehler machen und auch mal einen Fehler übersehen und auch mal abgelenkt werden. In der ein Fehler mithin üblicherweise aber eben nicht zuverlässig in kürzester Zeit behoben wird.
Und eben jene Fehler können auch beim Aufbau der Firewall gemacht werden.
 

Berniyh

Grand Admiral Special
★ Themenstarter ★
Mitglied seit
29.11.2005
Beiträge
4.993
Renomée
153
netstat -an | grep TCP

geht schneller und ist nicht davon abhängig dass auch Dein Provider den Port durchläßt.
Ich habe nicht gesagt, dass das die einzige Möglichkeit zum Überprüfen ist, die ich nutze.

Das ist eine sehr sehr kurzsichtige Sichtweise. Menschen machen naturgemäß Fehler. Einen Augenblick unachtsam, einen Moment lang in Gedanken, einmal beim überholen den Schulterblick vergessen - und schon _kanns_ knallen.
Ich hab nie behauptet, dass kein Mensch Fehler macht. Natürlich kann man sich gegen
alles absichern, keine Frage. Aber das gehört schlicht nicht hier rein.
(Und bevor jetzt falsche Schlüsse gezogen werden, ich bin ein deutlicher Befürworter des
Sicherheitsgurts und fahre nie ohne, nicht mal auf Parkplätzen, wo es mehr oder weniger
erlaubt ist.)

Dann bist Du unter "Alternative Betriebssystem und Software" fehl am Platz. Unter Windows sieht das ganze völlig anders aus.
Keine Ahnung, was du mir damit sagen willst, ich habe doch Windows extra ausgeklammert...

Würdest Du bitte mir überlassen welche Ports ich für sinnvoll erachte und welche nicht?

Ports sind genau das was der Name sagt - Ports. Ich kann _jeden_ denkbaren Dienst auf _jeden_ Port legen wenn ich das will und mit den Konsequenzen leben kann. Wenn Du Dich in einem vorgefilterten Internet-Kindergarten wohl fühlst ist das durchaus legitim, aber sage mir bitte nicht dass es Quatsch ist wenn ich darauf bestehe bei "Internet-Zugang" nicht eine Anzahl von Ports willkürlich gesperrt zu bekommen.
Mach du mit deinen Ports was du willst, mir ist es egal.

Du bist herzerfrischen blauäugig.

a) Dein Provider hat Dir gerade erfolgreich Portsperren als ein notwendiges Mittel zu Deinem Schutz verkauft.
Er hat mir das verkauft? Höre ich zum ersten Mal, ich hab auch nicht angenommen, dass
das zu meiner Sicherheit ist. Ich habe keine Dienste, die das betreffen könnte offen, also
was soll der Quatsch?
Ich habe lediglich gesagt, ich finde das nicht schlimm, also, was willst du von mir?

b) Dein Provider mag FTP nicht weil damit hohe Datenmengen abgerufen werden können für die er nix extra bekommt und für deren Volumen er trotzdem zahlen muss

c) Dein Provider mag SMTP nicht weil er Dir gerne das Postfach auf seinem Mailserver (gewinnbietend) anbieten möchte

d) also verkündet er als nächstes das er - natürlich nur zu Deinem Schutz - den gefährlichen Port für FTP (Raubmordkopierer) und SMTP (Spam) gesperrt hat.
Aha?
Das könnte man vor Gericht mit Sicherheit als nicht-erfüllen des Vertrages durchbekommen
und damit eine Vertragsauflösung erzwingen. Denn darauf wurde nicht hingewiesen.
 

Markus Everson

Grand Admiral Special
Mitglied seit
22.10.2004
Beiträge
6.788
Renomée
270
Standort
Deutschland
Berniyh schrieb:
Ich habe nicht gesagt, dass das die einzige Möglichkeit zum Überprüfen ist, die ich nutze.

Hast Du nicht. Mein Fehler.

Ich hab nie behauptet, dass kein Mensch Fehler macht. Natürlich kann man sich gegen
alles absichern, keine Frage. Aber das gehört schlicht nicht hier rein.

Ich hatte das in einem bestimmten Zusammenhang geschrieben. Nochmal meine Sichtweise: Wenn Du sehr viel Zeit darauf verwendest jede Systemveränderung abzusichern - dann kann Dir die Firewall kaum etwas bieten. Wer aber eher experimentiert und dabei mehr oder weniger bewußt in Kauf nimmt dass dabei auch mal Fehler passieren - der kann möglicherweise von einer Firewall profitieren.

Keine Ahnung, was du mir damit sagen willst, ich habe doch Windows extra ausgeklammert...

Du willst eine allgemeine Diskussion über den Sinn oder Unsinn von PFW führen, Windows dabei aber ausklammern? Sieht für mich eher so aus als ob Du in einer Frage verpackt Deine Weltanschauung unters Volk bringen möchtest. Ich schone daher meine und Deine Nerven indem ich mich aus dem Thread verabschiede.

Er hat mir das verkauft? Höre ich zum ersten Mal, ich hab auch nicht angenommen, dass
das zu meiner Sicherheit ist. Ich habe keine Dienste, die das betreffen könnte offen, also
was soll der Quatsch?

Du findest Portsperren ok, ich lehne sie grundsätzlich ab. Lassen wirs dabei.
.
EDIT :
.

PuckPoltergeist schrieb:
Das tue ich nicht.

Ok.

Ich sage, dass du bestenfalls einen angreifbaren Dienst durch einen anderen ersetzt.

Risikoabwägung. Ich komme dabei zu einem anderen Schluß als Du.

Schlimmstenfalls erhöhst du sogar die Angriffsfläche, wenn die Firewall nicht korrekt filtert.

Nein. Genau das passiert nicht. Denn wenn ich die Firewall hochfahre wird kein Paket nicht geblockt das vorher geblockt würde.

Nochmal: Die Firewall soll in meiner Arbeitsweise nicht die korrekte Konfiguration ersetzen - sie soll sie bestenfalls unterstützen (wenn ich zum Bleistift wirklich mal einen Dienst anbieten würde und nur Clients mit bestimmten Adressen den Zugriff auf einen Dienst erlauben will), mindestens aber mich in der Zeitspanne vom aktivieren bis zum erkennen einer fehlerhaften Konfiguration schützen.

Sicherheit lässt sich nicht dadurch erhöhen, in dem man die Komplexität vergrößert.

Also Airbag zusätzlich zum Sicherheitsgurt bringt nichts, ja?

Und eben jene Fehler können auch beim Aufbau der Firewall gemacht werden.

Korrekt. Wieder Abwägungssache. Denn die Firewall muss ich nur einmal korrekt konfigurieren.
 

Berniyh

Grand Admiral Special
★ Themenstarter ★
Mitglied seit
29.11.2005
Beiträge
4.993
Renomée
153
Du willst eine allgemeine Diskussion über den Sinn oder Unsinn von PFW führen, Windows dabei aber ausklammern? Sieht für mich eher so aus als ob Du in einer Frage verpackt Deine Weltanschauung unters Volk bringen möchtest. Ich schone daher meine und Deine Nerven indem ich mich aus dem Thread verabschiede.
Ich bin zwar überzeugter Linux Anwender, allerdings versuche ich nicht Leute dazu
zu bewegen, zu Linux überzuwechseln, im Grunde ist mir das ziemlich egal.
Darum ging es mir auch überhaupt nicht.
Der Grund, warum ich Windows hier abtrennen wollte ist, dass bei Windows die
Diskussionsgrundlage ein wenig anders ist, denn bei vielen Diensten habe ich unter
Windows (es müssen jetzt hier gar nicht mal die Windows eigenen sein) oft gar nicht
die entsprechenden Möglichkeiten für eine abgesicherte Konfiguration.
Zum Beispiel kann ich ja, soweit mir das bekannt ist, die Dienste meistens nicht auf genau
ein Netzwerkinterface beschränken, oder sogar nur auf ein Subnetz (ohne die anderen zu
verlieren). Man mag mich korrigieren, falls das doch gehen sollte.
Die Thematik Pro oder Contra Firewall ist deswegen ein wenig verschoben.
Das ist der Grund, warum ich da trennen wollte und nicht, ob ich etwas gegen Windows
habe oder nicht. Meinetwegen kann man Windows gerne hinzunehmen, nur muss man da
das oben erwähnte eben beachten.
 

PuckPoltergeist

Grand Admiral Special
Mitglied seit
18.01.2002
Beiträge
16.734
Renomée
145
Standort
Ilmenau
Nein. Genau das passiert nicht. Denn wenn ich die Firewall hochfahre wird kein Paket nicht geblockt das vorher geblockt würde.
Eine fehlerhafte oder falsch konfigurierte Firewall blockiert mitunter die Zugriffe nicht, wie sie soll. Das bedeutet, der eigentliche Dienst ist immer noch erreichbar, und zusätzlich bietet die Firewall Angriffsfläche.

Nochmal: Die Firewall soll in meiner Arbeitsweise nicht die korrekte Konfiguration ersetzen - sie soll sie bestenfalls unterstützen (wenn ich zum Bleistift wirklich mal einen Dienst anbieten würde und nur Clients mit bestimmten Adressen den Zugriff auf einen Dienst erlauben will), mindestens aber mich in der Zeitspanne vom aktivieren bis zum erkennen einer fehlerhaften Konfiguration schützen.
Schön konstruierter Fall. Nur hat der mit dem Desktop und der darauf laufenden PFW nichts mehr zu tun. PFW sind mit eine der größten Fehlleistungen auf Basis microsoftscher Produktpolitik.

Also Airbag zusätzlich zum Sicherheitsgurt bringt nichts, ja?
Merke, nicht alles was hinkt, ist ein Vergleich.

Korrekt. Wieder Abwägungssache. Denn die Firewall muss ich nur einmal korrekt konfigurieren.
Und bietet bei Fehlern eine wesentlich größere Angriffsfläche. Und ganz nebenbei, das Problem sind nicht direkt fehlerhafte Konfigurationen, sondern fehlerhafte Dienste. Die Konfiguration soll nur verhindern, dass ein Fehler im angebotenen Dienst nicht ausgenutzt werden kann.
 

Sharke

Admiral Special
Mitglied seit
27.01.2002
Beiträge
1.750
Renomée
3
Standort
Dresden
http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

(weiß ned ob das schon gepostet wird)

ich find personal-firewalls unsinnig, wenn der nutzer gefragt wird von der firewall was er blocken soll oder nicht weiß es der user(normalo) meist nicht was er nun am besten drueckt und wenn er es weiß dann brauch er keine firewall denn dann schaltet er es ab oder an was auf dem port rumgurkt... :)
 
Oben Unten