Die Philosophie der Firewall

Zu welchen schönen Blüten die Verrenkungen bezüglich Firewalls führen, zeigt sehr schön die hier im Forum häufig in Sicherheitsfragen empfohlene Seite :

http://www.ntsvcfg.de/

die im wesentlichen Informationen zu den NT-Diensten und ihrer Konfiguration geben will. Dort heißt es zunächst :

Einige Zeilen später heißt es dann :

Es folgen dann die bekannten Argumente...

BTW : Hallo WWimmer, wußtest du überhaupt, dass
eine Firewall ein Sicherheitskonzept ist und keine Software, die man einfach installiert ? Denke bitte mal gründlich darüber nach

Wo der wesentliche Unterschied zwischen den sog. Desktop-Firewalls und der XP-Firewall sein soll, bleibt das Geheimnis von
ntsvcfg.de. Einfachere Konfiguration ? OK, das ist aber nichts Wesentliches. Ein geringeres Risiko bezüglich der Manipulierbarkeit ?
Der Witz ist gut. Folgender Batch-Einzeiler reicht, um die XP-Firewall lahmzulegen :

netsh firewall set opmode DISABLE

Wenn man es über ein VBS-Script machen möchte, sind es drei Zeilen :

Set FW=CreateObject("HNet Cfg.FwMgr")
Set OP=FW.LocalPolicy.CurrentProfile
OP.FirewallEnabled=FALSE

 

hallo franzkat,

mir ist leider nicht ganz klar geworden, was du uns mit deinem beitrag sagen willst. eine aufforderung zu einem überflüssigen weiteren firewall-flame wird ja wohl hoffentlich nicht dein anliegen sein.

dein zitat zur xp-firewall ist etwas aus dem zusammenhang gerissen. es steht unter der überschrift

betonung auf weitere.

die problematik der scheinsicherheit und der nicht ausreichenden security by obscurity setze ich als bekannt voraus. diese bedenken gelten natürlich auch für die xp-firewall. andererseits ist ein entscheidendes argument gegen desktop-firewalls, dass diese programme ihrerseits die installation weiteren angreifbaren codes bedingen. dies gilt naturgemäß für die xp-firewall nicht. also spricht nichts dagegen, die xp-firewall zu aktivieren, wenn man sich des problems der scheinsicherheit bewußt ist.

die gegenüberstellung der zitate ist daher nicht ganz fair, da sich das 2. zitat eindeutig auf sog. firewalls von drittanbietern bezieht.

weiter ist die xp-firewall die schnellste, einfachste und damit eleganteste lösung, nach einer neuinstallation relativ gefahrlos die patches runterzuladen und weitere vorkehrungen zur absicherung zu treffen, wie z.b. das script bei ntsvcfg runterzuladen.

 

nö.

deine erkenntnis über installierte schädlinge ist eine vorauszusetzende selbstverständlichkeit. ebenso wie die binsenweisheit, dass man landläufig unter firewall ein sicherheitskonzept und keine software versteht - oder eben verstehen sollte.

wenn ich franzkat recht verstanden habe, wollte er wohl die differenzierung zwischen xp-firewall und anderen derartigen produkten bei ntsvcfg kritisieren. hierzu habe ich so sachlich wie es mir möglich ist meine meinung gesagt. das hat nichts mit der frage zu tun, dass man sich natürlich trotz firewall einen schädling installieren kann, der seinen meister anruft.

 

Richtig. Darum ging es mir. Ich finde es sehr inkonsequent einerseits Firewalls prinzipiell abzulehnen und andererseits aber die von XP als wichtige Sicherung zu empfehlen.Der Unterschied zwischen einer kommerziellen Desktop-Firewall und der XP-Firewall ist dabei völlig unbedeutend. Es handelt sich in beiden Fällen um Software-Firewalls.

Nun zu MobyDucks zentralem Argument :

Warum das für die XP-Firewall nicht gelten soll, vermag ich nicht zu sehen. Bei ihr handelt es sich doch genauso um Programm-Code wie bei den Kommerziellen. Es ist ja sogar so, dass dieser Programm-Code der XP-Firewall leichter zu deaktivieren ist als der der etwas anspruchsvolleren kommerziellen Anbieter.Das Argument mit der Scheinsicherheit ist ein sehr generelles, welches man nicht als grundsätzliches Argument gegen Firewalls ansehen kann. Auch bei der Benutzung eines Airbags ergibt sich bei unvernünftigen Zeitgenossen ein fatales Gefühl der Scheinsicherheit. Wer würde aber deshalb auf die Idee kommen, Empfehlungen gegen Airbags auszusprechen.

 

ganz einfach. die xp-firewall installierst du mit win oder sp2 mit, ob du willst oder nicht. bei kommerziellen produkten mußt du ebenso zwangsläufig weiteren, evtl. anfälligen code installieren. es gehört aber auch zu einem von dir angesprochenen sicherheitskonzept, nur die software zu installieren, die man wirklich braucht.

in deiner argumentation vermengst du fragen des überflüssigen codes mit fragen der scheinsicherheit. das ergebnis deiner schlussfolgerungen ist imho entsprechend unscharf.

meines erachtens sollte man differenzieren. da die xp-firewall zwangsläufig mit installiert ist, spricht auch nichts dagegen, das entsprechende häkchen zu setzen. wenn man sich der schwächen von software-lösungen bewußt ist. nicht mehr und nicht weniger steht auf der von dir zitierten seite.

daraus kann man jedoch nicht den umkehrschluss ziehen, dass man dann auch genauso gut produkte von drittanbietern einsetzen kann, siehe oben.

so, es wäre noch einiges mehr dazu zu sagen, aber nur mit einer hand zu tippen ist nur zeitlich begrenzt lustig, grummel.

 

@MobyDuck

Wenn man deine Argumentation grundsätzlich befolgen würde, dann müßte man auch Outlook als Mail-Client mehmen, weil der nun mal mit einer XP-Installation mitinstalliert wird und man um jeden Preis zusätzlichen Code auf dem Rechner (in diesem Fall einen externen Mail-Client) vermeiden müsse. Das Beispiel zeigt glaube ich deutlich, wie absurd eine solche Argumentation ist.

 

hmm, bei mir wurde outlook nicht automatisch installiert, als ich xp aufsetzte.

aber egal, falls du oe meinst, hinkt dein vergleich. bei der benutzung von oe oder einem schlecht konfigurierten ie schaffst du gerade durch die benutzung weitere gefahren. bei der firewall ist die benutzung schlimmstenfalls überflüssig.

 

Dann sind dir aber ganz wesentliche Dinge entgangen :

Schau mal hier :

http://www.pcwelt.de/forum/showthread.php?t=133059

Also um die Sache noch mal auf den Punkt zu bringen :

Ich halte es für hochgradig inkonsequent, wenn ich auf der einen Seite einen Standpunkt vertrete, dass Software-Firewalls grundsätzlich sinnlos bzw. gefährlich seien, auf der anderen Seite dann aber argumentiere, die von XP solle ich ruhig aktivieren, da sie nun eh schon mitinstalliert sei. Da müßte ich dann eben konsequenterweise auch empfehlen, auch diese Firewall zu deaktivieren, was ja ganz leicht möglich ist, denn das Argument der Scheinsicherheit müßte ja in diesem Fall dann auch gelten.

 

Hey, super, das Thema wollt' ich eh bald in der Schule als Referat halten, ihr habt doch bestimmt noch ein paar Links zum Thema und auch nix dagegen, dass ich die Infos dann in der Schule verwerten darf?!

 

tja, dann musst Du wohl auch mal bei http://www.eisenheim.de/ vorbeischauen und auf der rechten Seite Snake Oil - Software nachlesen ! :p

 

Tja , der Steele. Hat von dem eigentlich mal wieder jemand was gehört ?

 

Nö, bei ihm im Forum wird auch nur spekuliert und selbst die MODs wissen nix ! schade eigentlich ...

 

Der kann doch aber nicht vom Erdboden verschwunden sein.

 

sorry, wenn ich inzwischen den gemütlichen plausch über iron störe, aber ich konnte nicht eher antworten.

unsinn. du wirst mir doch wohl nicht allen ernstes weis machen wollen, dass diese lücke mit deaktivierter firewall geschlossen ist.

ich will dir nicht zu nahe treten, aber langsam kommt es mir so vor, als ob du händeringend nach argumenten suchst, um recht zu behalten. dabei bewegst du dich immer weiter von deinem eingangsposting weg. das brauchst du nicht. ich will dir nichts.

doch zurück zu deiner argumentation. der einwand der scheinsicherheit gilt natürlich auch bei der xp-firewall, da hast du recht. vielleicht sind dir jedoch meine diesbezüglichen einschränkungen oben nicht entgangen. die unterschiedliche behandlung der firewalls - über die du dich ursprünglich mokiert hast - begründet sich nicht in der scheinsicherheit, sondern in anderen überlegungen, siehe ebenfalls oben. natürlich geht die welt nicht unter, wenn man bei einem entsprechend abgesicherten system die xp-firewall abschaltet. aber man kann genauso gut umgekehrt fragen, warum man das tun sollte. es schadet imho doch nichts. komme mir jetzt bitte nicht mit dem zweifelhaften Steele'schen hidden-argument. wo kein dienst ist, spielt es auch keine rolle, ob eine antwort auf ein ping kommt oder nicht.