Sicherheitsrisiko DSL

Anzeige

n0NAMe bei einer Hardwall erhält der Angreifer höchstens zugriff auf den Internetrechner, nicht aber auf die Clienten. Da dieser sehr oft nur ein rudimentäres Windows, ohne irgendetwas an Daten enthält, ist das nicht weiter tragisch. Wenn aber auch dieser geschützt wird und richtig configgt wurde, passiert selbst dem nix, von den Clienten ganz zu schweigen...

Der Rest ist aber wirklich Blödsinn...

Allein der Satz das eine Softwarefirewall nur dann schützt, wenn der PC schon infiziert wurde, ist total absurd.

 

Hab ich auch gar nicht geschrieben.

Nochmal zum Mitlesen:

Hardwarefirewall:
Ein Ping mit z.B. 32Bytes Daten (oder schädlichem Code) wird gleich geblockt und gedropt, der PC kommt überhaupt nicht damit in Berührung.

Softwarefirewall:
Der Intruder kommt erstmal auf den PC und wird dort in der Regel gefiltert, falls er schädlich ist. Aber trotzdem ist er erstmal im PC drin und falls der Filtermechanismus versagt, ist er auch dauerhaft drin! Und das ist das Problem, zahlreiche Trojaner können die Firewall austricksen und unerkannt Datenströme sowohl raus als auch rein zulassen.
Und glaubt ihr nicht, dass das ganze Nortonzeugs keine Exploits hat und verschiedene Datenkanäle überhaupt nicht überprüft?

Zum Vorstellen:
Die Hardwarefirewall ist wie ein unumstößlicher und unbestechbarer Pförtner vor einer großen Firma, sie kontrolliert wirklich jeden, der rein und rausgeht, ob er auch eine Berechtigung dazu hat. Wer sie nicht hat, wird eliminiert (sprich gedropt).

Die Softwarefirewall ist eher eine Art Polizei in der Firma drin, die großflächig schaut, dass niemand unberechtigtes irgendwas nach draussen schicken will und auch niemand hineinkommt, jedoch den Eingang dabei nicht so fest im Griff hat, wie der obige Pförtner. Aber sie erwischt nicht alle dabei, denn sie kann von den Schädlingen entweder manipuliert oder ausgetrickst werden.

Und das ist bei einer Hardwarefirewall definitiv nicht möglich, da hier kein bösartiger Code den Schutzmechanismus irgendwie verändern oder sich davor verstecken kann, da er eben fest als Hardware implementiert ist. Firewallsoftware kann hingegen durch genug VIren etc. geblockt werden, es gibt genug Viren die die Virenscanner (und Firewalls) ausschalten.

 

Besser ist es, wenn man Hardwarefirewall UND Personlfirewall einsetzt.

Die Hardwarefirewall arbeitet nur auf Protokolebene und kann nicht vor Trojanern schützen. Ein weitere Vorteil der Hardwarelösung ist, das bei Angriffen der Rechner nicht belastet wird und der Traffic im lokalen Netz reduziert wird.

Die Softwarefirewall arbeitet auf Anwendungsebene und verhindert die Verbindung von Trojanern und andere spionagesoftware mit der Aussenwelt. Der Nachteil der Softwarelösung ist, das der Schutz erst nach den Laden der Firewall besteht. In der Zeit während der Rechner bootet ist dieser ungeschützt. Auch kosten Angriffe Rechenzeit und belasten das System.

 

Na dann gehen wir mal in die Tiefe.
Also ein Eindringling versucht Kontrolle auf einen PC zu bekommen, der durch eine Personal Firewall geschützt ist. Wie geht er vor?

Sie schaut nicht großflächig. Was ist die winsock.dll?

Ich freue mich schon auf wenigstens ein (reales) Beispiel, wie das geht. Ansonsten leg ich das Argument zur Kategorie "Schall und Rauch".

Ähm Sorry, aber was heißt bitteschön "drin"? Wenn die Firewall versagen würde, dann müsste weiterhin noch ein Sicherheitsloch vorhanden sein, das ausgenützt werden kann. Diese speziellen Dinge erkennt eine Personal Firewall aber mit Sicherheit.

Auf Deiner "Hardware"-Firewall läuft auch nur Software. Denkst Du iptables (z.B.) wurde aus Blei gegossen? Die Software auf einer "Hardware"-Firwall (imho ist der Ausdruck Blödsinn - besser dedizierter Firewallrechner), macht erstmal nichts anderes wie eine Personal Firewall. Sie hängt sich an die Mutter aller Sockets und schaut sich an was gut ist und was nicht. Um Deiner Argumentation zu folgen: Jedes Paket ist übrigens auch "in Deiner Firewall (drin)" ansonsten müsste Deine Netzwerkkarte die Filterrung übernehmen und die hat weder von TCP/IP noch von Filterregeln eine Ahnung.
Die richtige Schwachstelle von Personal Firewalls ist nicht der Angriff von außerhalb sondern der Angriff von innerhalb.
Dazu muss der Schädling aber bereits auf dem Rechner sein (siehe Virenscanner).
Ich kann nur immer wieder allen raten, die sich verunsichern lassen: "Wenn ihr keinen Schutz habt, bitte holt euch wenigstens eine Personal Firewall. Es ist ein Märchen, dass die nichts bringt und jedes Kiddie das Teil umgeht."
Ein dedizierter Firewall Rechner unter Linux bietet eine noch höhere Sicherheit, ist aber wesentlich aufwändiger zu konfigurieren und kann dadurch für ungeübte mehr Schaden als Nutzen bringen", auch ist sie in dem meisten Fällen überhaupt nicht nötig.
Und um mich mit Lechuk wieder zu versöhnen (wir Bayern sind gar net so übel): Eine Hardwarefirewall (jetzt sag ich dieses Wort schon wieder) ist ein noch besserer Schutz als eine Softwarefirewall, aber eine Softwarefirewall hat durchaus einen guten Nutzen und ist meist ausreichend.
So.

 

Meine Rede. Das ist der optimalste Schutz, auch für den (sehr ambitionierten) Homeuser. Der Begründung kann ich so allerdings nicht ganz zustimmen, da ein dedizierter Firewallrechner auch vor Trojanern schützen kann (allerdings nicht auf Prozessebene und darauf wollte b.droege wohl hinaus).

 

Dann kenne ich ja schon zwei nicht unüble Bayern.

Dann habe ich ja eine Hardsoftwarefirewall oder anders-
eine HaSodediewall-klingt cool.
Kann man diese nicht bei ebay als ultima und Neuentwicklung
vertickern?

 

Hallo,

ich stimme Euch bei allen Argumenten für Hard- und Softfirewalls zu!

Nun habe ich festgestellt, dass bei jedem Zugriff ins Internet, die Meldungsmaschine anspringt und den Nutzer fragt: "Anwendung XY will auf das Internet zugreifen, soll das erlaubt werden?" Wenn ich das mit ja beantworte gehts weiter bei nein ist Schluss.

Wer sagt dem User eigentlich, ob die Frage für gutartige Zugriffe oder für Schädlinge beantwortet wird??? Oft sind doch die User mit der Beantwortung dieser Fragen schon total überfordert. Die gehen doch hin und wollen das, was sie im Browser anfordern auch sehen und können überhaupt nicht zwischen gut und böse unterscheiden.

Gibts da eigentlich eine Lösung, um solche Fragen richtig bewerten und damit sicher beantworten zu können?

 

In der Frage steht doch, welche Anwendung auf das Internet zugreifen will. Bei solchen Anwendungen, wie "Internetexplorer", oder Mailprogramm kann man diese Frage mit "immer erlauben" beantworten, es wird dann auch nicht mehr gefragt. Ebenso können z.b. Downloadmanager, Bankingsoftware und einige andere diese Erlaubnis bekommen. Aber was darüberhinausgeht, muss man halt genauer prüfen. dazu gehört dann auch, mal zu suchen, zu welchem Programm eine angezeigte Anwendung gehört, es ist also Vorsicht geboten und es sollten eben auch weitere Massnahmen eingeleitet werden.
Hauptaufgabe eines Firewals ist aber trotzdem das Blocken von Angriffen aus dem Internet. Bei einem direkten Zugang kann man sich spasseshalber ja mal die log-File ansehen und zu versuchen zu bewerten, du wirst erstaunt sein.

 

Und wer garantiert mir, dass die Softwarefirewall alles was raus will filtert? Intelligente Trojaner drücken sich da vorbei, bei ner Hardwarefirewall ist das unmöglich. Alles was nicht HTTP(S), POP3, SMTP, FTP und SSH ist, wird geblockt. Basta.

 

Nun wird es nie den 100 Prozentigen Schutz geben. Aber auch eine HW-Firewall besitzt nun mal Software und eine bessere SW-Firewall hat ähnlich wie Virenscanner ein Signaturfile mit dessen Hilfe es Trojaner bereits beim Eindringen erkennt und blockt. Ich benutze die Sygate-Pro und habe nach einigen Microsoft Sicheheitspatches von ihr plötzlich die Meldung erhalten das der Internetexplorer auf das Internet zugreifen möchte und es wurde eine Bestätigung angefordert. Sicher ist der "normale" User ala Lieschen Müller mit solchen Fragen möglicherweise überfordert aber das sollte doch kein Grund sein, ohne einen Schutz ins Internet zu gehen. Das A und O bei der ganze Sache ist doch, das jede Form von Schutz, sei es nun in Hardware oder Software regelmäßig gewartet werden muß, denn die Leute vor denen man sich schützen will, haben doch nichts besseres zu tun als diesen Schutz auszuhebeln und wie ein Update dann mit einer Lösung in Hardware aussieht, weiß ich nicht, stelle ich mir aber komplizierter vor. Bei Sygate gibt es immerhin die Möglichkeit sein System Online überprüfen zu lassen und ich kann mir nicht vorstellen, das das gefakt ist. Wenn es denn nun mal wieder einen "intelligenten" Trojaner gibt, der sich da vorbei mogelt, liefert ein kompetenter Firewallhersteller recht schnell ein Update. Das gleiche gilt übrigens auch für Virenscanner und Spywarescanner.

Bei Antivir im Forum wurde auch mal die Frage gestellt, warum man denn den E-Mail-Wurm im Anhang erst auf die Platte läßt und in nicht gleich beim Eintreffen beseitigt. Die Antwort war, das es die Strategie wäre, den Anhang erst beim Entpacken bzw. Ausführen zu scannen und dann ggf. einen Virus oder Wurm zu beseitigen, bevor er Schaden anrichten kann. Im Anhang und im Postfach wäre da keine Gefahr.

Wenn man nun Angst hat, das eine Software-Firewall zu viel CPU-Zeit kostet, dann sollte man mal lieber nachschauen, ob es nicht unsinnige Software auf dem Rechner gibt und diese dann deinstallieren und wenn die SW-Firewall die meiste CPU-Zeit in Anspruch nimmt, ist sowieso Alarm angesagt.

Nachtrag: Und wenn der Eindringling bereits auf dem System ist, dann kann sollte wenigstens die Ausgangstür versperrt werden, damit er nicht wieder heraus kann. Und viele Schutzprogramme scannen bereits vor der Installation das System nach Eindringlingen und beseitigen sie.


Gruß Dieter