Schwerpunkttest: 6 Firewalls

versuchs, ich sag dir sogar meine IP...

 

Naja, je nach Router vielleicht.
Ich kanns nicht, aber es gibt schon Exploits und NAT ist mit kleinem Aufwand zu überwinden.

wow, danke für den Link.
Guter Artikel.

Dass mit dem Klicken-Simulieren gibt mir zu Denken...

Aber andererseits habe ich schon einige Schädlinge (Dank der guten Protokollierung von Outpost) entdecken können. Keine Ahnung, wie gross der Anteil von solchen Eingabe-Simulierten Programmen ist, aber mir ist (glaube ich jedefalls) noch keines über den Weg gelaufen

 

Der Autor hat zwar prizipiell recht, aber übertreibt er es mit seinen Schlussfolgerungen nicht doch etwas? Eigentlich fehlt in dem Artikel nur noch eine Bemerkung:

PFWs sind nicht das Allheilmittel aber wer wie er den Leuten einredet, sie bräuchten keine, hilft nur dabei, Würmer weiter zu verbreiten. Hätten die Leute eine (korrekt konfigurierte) Firewall benutzt, dann wäre so manch eine Wurmplage folgenlos geblieben.

Bis dahin hilft der Autor mit seinem Schreibstil nur das Vorurteil des arroganten und selbstüberschätzenden Administrators weiter zu verbreiten...

 

@ ColonelChris

Interessanter wäre gewesen, wenn du dich mit den Argumenten auseinandergesetzt hättest anstatt Pauschalbehauptungen aufzustellen. Ich würde ja gerne dazulernen. Und mir eine Firewall installieren, wenn der Autor unrecht hätte. Aber bisher lese ich von den Firewall-Freunden immer nur undifferenzierte Beiträge oder Nacherzählungen der Reklamesprüche.

 

@Tamburas

Ich bin kein "Firewall-Freund". PFWs sind kein Allheilmittel. Aber sie helfen, einen Angriff, vor allem auf ungepatchte System (und das sind sehr, sehr viele), deutlich zu erschweren. Besonders für Nicht-Computergeeks (ja, die gibt es auch ) halte ich eine PFW also für angemessen. Schade nur, dass die meisten so klägliche Standardeinstellungen haben.

Eine Firewall, die die Ports 135-139 sowie 445 sperrt, hätte das Eindringen der letzten großen Windows-Würmer verhindert, und wird wohl auch noch einige weitere Würmer behindern, wenn es bei der aktuellen Rate bleibt. Das gibt einem zumindest die Zeit, das notwendige Windows-Update aufzuspielen. Nicht jeder kann oder will das machen. Ich möchte auch mal die etwas vage Theorie aufstellen, dass ein Windows mit korrekt konfigurierter Firewall auch ungepatcht sicher sein sollte. Vernünftige Standardeinstellungen der PFWs könnten hier eine Menge zur Vermeidung von Wurmepidemien beitragen.

Hab live mit eigenen Augen auf dem Laptop eines Freundes, der aus Faulheit niemals Windows-Updates eingespielt hat, gesehen wie ein Wurm nach 10 Sekunden ein ungepatchtes System befällt welches keine Firewall benutzt. Eine Firewall, wenn auch nur eine rudimentäre, hätte das verhindert und ihm Formatierung & Neuinstallation erspart. Seit dem stehe ich Firewalls deutlich positiver gegenüber als vorher, denn offensichtlich gibt es doch Fälle in denen sie schützen. Wer sein System mit Bordmittel (ausgenommen XP-SP2-Firewall) vor solchen Würmern schützen kann, und mir erklären kann, WIE das geht, dem schenke ich gern Gehör.

Ich fasse mal zusammen:
1. Firewall-Werbung verspricht Rundumschutz. Das ist natürlich Unsinn. Hab ich auch nicht angezweifelt.
2. Ob "Stealth" etwas bringt, weiß ich nicht. Dazu hab ich zu wenig Ahnung vom TCP-Handshake und dem Verhalten des Stacks. Vor allem weiß ich nicht WIE clever im Endeffekt die Wurmautoren sind, denn es ist fraglich, ob sie die Schwachstellen des Stealthing auch tatsächlich kennen und ausnutzen (können). Das hängt natürlich auch von der Qualität der Firewall ab.
3. Heraustelefonierende Software ist durchaus ein Problem und nicht immer geht es dabei um Trojaner. Manchmal geht es einfach nur um den Datenschutz. Manche Software wird mit der neuen Version urplötzlich verdammt neugierig, und nicht immer kann man das abstellen. Soll ich deshalb auf eine schlechtere Software wechseln? Irgendwie wäre das in meinen Augen eine Kapitulation, dazu bin ich nicht bereit.
4. Eine harmlose, aber achtlos geschriebene Software, die durch die Firewall keinen Port nach außen öffnen kann, kann (Achtung, Theorie) auch nicht von einem neuen, unbekannten Wurm befallen werden.

Die Sache ist doch die: Eigentlich ist das ewige Installieren von Updates eine Zumutung, vor allem für Nicht-Geeks. Firewalls erhöhen den Aufwand für ein Eindringen und streuen durch ihre Vielzahl die Möglichkeiten, wodurch der Aufwand noch weiter steigt. Und behindern oder verlangsamen tut mich meine aktuelle Firewall subjektiv auch nicht (da gibts aber auch Gegenbeispiele). Alles Augenwischerei? Mag sein. Sie öffnet weitere Sicherheitslöcher? Find ich nicht, denn dazu müsste der Wurmautor meine exakte Firewall ja kennen. Und in vielen Fällen macht sie ihre Arbeit auch tatsächlich ganz gut. Aber lieber habe ich eine zweite, löchrige Verteidigungslinie, als gar keine. Rein statistisch sollte das doch meine Chancen von einem Wurm verschont zu bleiben erhöhen. Es muss ja nicht gleich Klickibunti-Norton sein.

Die Argumentationsweise des Autors bleibt aber trotzdem aggressiv-arrogant, und vermittelt den Eindruck eines selbstüberschätzenden Computergeeks. Ich fände es hingegen nett wenn diese Diskussionen in einem freundlichen Ton weitergeführt wird.

 

Das verstehe jetzt, wer will. Ich soll also einem allen Ernstes raten: "Wenn du kein Bock hast, Patches einzuspielen, installiere eine PFW"?

Eben nicht! Die halten sich ja gerade für sooo sicher und kennen die Schwächen nicht. Und sie sind zu 99,9 % nicht in der Lage, sie gescheit zu konfigurieren (ich auch nicht).

Man kann vielleicht empfehlen, die WinXP-FW zu aktivieren, das halte ich bei Otto N. für angebracht. Aber nicht mit dem Hinweis, er sei jetzt sicher.

 

Quelle: Chaos Computer Club (CCC)
Personal Firewalls Funktionalität mangelhaft
http://copton.net/ds/personalfirewalls.html

http://copton.net/vortraege/pfw/index.html
Zitat:
Es wurde nicht nur gezeigt, dass "Personal Firewalls" keinen zusätzlichen Schutz bieten, sondern auch dass sie neue Sicherheitslücken in einem System öffnen können So kann man z.B. einen PC, auf dem Symantec Norton läuft, durch einen gezielten Angriff vom Internet abklemmen. Ein aktuelles Beispiel für solche Sicherheitsprobleme durch "Personal Firewalls" ist ein Fehler im Liveupdate verschiedener Symantec Produkte. (siehe heise security) Dieser Fehler kann zur "Privilege Escalation" genutzt werden, was bedeutet, dass sich ein Angreifer dadurch privilegierte Rechte verschaffen kann.

Das Arbeiten mit einer eingeschalteten "Personal Firewall" ist zwar nicht sicherer, dafür aber wesentlich behäbiger und rechenintensiver. Eine aktivierte Norton Personal Firewall 2005 verbrauchte im Test so viel Resourcen, dass ein Download einer 100MB Datei auf dem Test-PC mehr als doppelt so lange brauchte wie bei deaktivierter "Personal Firewall".

Die gezeigten Schwächen von "Personal Firewalls" sind in der Fachwelt schon länger bekannt. Jetzt wurde die an die Hersteller von "Personal Firewalls" und an Microsoft gerichtete Kritik mit Programmen untermauert, die eindeutig belegen, dass die versprochene Sicherheit nicht vorhanden ist. Der Einsatz einer "Personal Firewall" ist meistens sinnlos und oft gefährlich im Vergleich zum Abschalten unerwünschter Dienste. Der CCC Ulm fordert, dass Endanwender nicht länger über die Schwächen von "Personal Firewalls" hinweg getäuscht werden. Der CCC Ulm fordert außerdem, dass Microsoft endlich ein Sicherheitssystem in sein Fenstermanagementsystem einbaut und sein Betriebssystem mit sicheren Voreinstellungen ausliefert. Insbesondere ist wichtig, dass nur die Dienste aktiviert sind, die auch tatsächlich benötigt werden. Mit Windows Server 2003 hat Microsoft bereits gezeigt, dass sie durchaus in der Lage wären, diesen Weg zu gehen.

Wolfgang77

 

@ ColonelChris
Ich freue mich ebenfalls über den sachlichen Ton, in dem inzwischen hier in diesem Thread gepostet wird. Hoffentlich bleibt das so.

Deiner Argumentation bzgl der Patches möchte ich auch nicht folgen. Ich halte es für problematisch, einen Fehler (PFW) mit einem anderen Fehler (Patchfaulheit) zu rechtfertigen.

Ich bin übrigens auch der Meinung, dass es Sinn machen kann, den XP-Paketfilter zu aktivieren. Auch bei deinem Bekannten hätte das ausgereicht.

Was die heraustelefonierenden Programme angeht, weiß ich nicht, ob es Sinn macht, nur deshalb eine Firewall zu installieren. Wofür gibt es netstat? Aber das Thema hatten wir ja schon zur Genüge, möchte mich nicht wiederholen und schließe mich Steppl und Wolfgang an.

Vielleicht zum Abschluss nur das hier:
http://www.pcwelt.de/forum/showthread.php?p=866097#post866097
Der User hatte Norton Antivirus und ZA drauf. Norton hat den Trojaner nicht erkannt (ok, wundert mich nicht, dafür ballerte Norton wenigstens mit Fehelrmeldungen um sich). Aber wo war die Firewall?

 

Nicht, dass ihr mich falsch versteht. Die meisten Leute sind sich doch gar nicht bewusst, dass sie überhaupt Patches einspielen müssen. Wenn ich soweit bin, dass ich Leuten etwas empfehlen kann, dann empfehle ich ihnen natürlich zuerst ein System-Update! Leider ist es aber nunmal so, dass die meisten Leute keine Patches mehr installieren, sobald das System (wieder) einmal läuft. Eine Firewall wäre da doch eine gute Präventivmaßnahme, oder? Ein wenig Minimalismus, was die offenen Ports angeht, würde Windows sowieso guttun.

Der TCP/IP-Filter von Windows ist so eine Sache. Meines Wissens macht dieser die Ports auf allen Netzwerkkarten dicht und macht im Fall der RPC-Ports somit das lokale Netzwerk unbrauchbar. Kann man den irgendwie präziser einstellen?

 

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/windows/sicherheit/wxpsp2.shtml