Hallo
AAHJA,
zunächst hoffe ich mal, dass diese Diskussion kein Dialog zwischen uns bleibt. Dass wir uns in grundsätzlichen Dingen einig sind, wussten wir schon vorher. Lediglich wer, wann, wofür eine PFW einsetzt oder nicht und mit welchem Erfolg, scheint unsere Meinungen diesbezüglich etwas auseinander gehen zu lassen.
Ausser Frage für mich steht die Tatsache, dass wir beide damit umzugehen wüssten, ob das auch so bei allen Verwendern diverser Personalfirewall- Produkte gleichermaßen der Fall sein sollte, zweifele ich berechtigterweise an. Denn weshalb würden sich sonst so viele Anfragen in Foren mit Problemen im Umgang mit PFW's beschäftigen ?
Im Einzelnen:
...welche Mittel Du einsetzt, um Angriffe zu interpretieren, zu protokollieren,
um Angriffe wie weiter unten beschrieben (Punkt XXXXX) begegnen zu können.
Mit welchen Mitteln werden die u.g. Web-Seiten, Umleitungen und "Aktiven Inhalte" von Dir gefiltert ?
Entdeckst und reagierst Du auf Port-Scans ?
Dazu müßte man den Begriff "Angriffe" zunächst mal definieren. Malware als solches ist ohne Interaktion gar nicht in der Lage, Angriffe durchzuführen. Dafür wurde eine Firewall auch ursprünglich nicht ausgelegt. Es ging (und geht) darum, unauthorisierte Zugriffe von außen auf ein Computersystem (Netzwerk) zu verhindern. Da im Netzwerkverkehr ständig funktionsbedingt Traffic zwischen den Clients und Servern stattfindet, gilt es zu unterscheiden (filtern), welche Datenströme nun zwangsläufig notwendig sind, welche nützlich, aber nicht unbedingt erforderlich sind und welche individuell nicht notwendig sind. Eine Firewall soll diese Aufgabe übernehmen und kann das weitgehend auch recht gut und entlastet dabei in gewisser Weise die User. Der Paketfilter in einem DSL- Router versucht diese Aufgabe zu übernehmen, kann dies aber in den meisten Fällen nur in eingehende Richtung. Geht man davon aus, dass die User im privaten Netzwerk (also hinter dem NAT- Router) grundsätzlich keine "dummen Sachen" machen, funktioniert die Geschichte soweit ganz gut. Netzwerkwürmer der Kategorie "Sasser" oder "Blaster", die sich über Schwachstellen im Betriebssystem verbreiten konnten, wurden dadurch effektiv gestoppt. Die Problematik war eine völlig andere:
Laptops mit ungepatchten Betriebssystemen, die auch außerhalb des gesicherten Netzwerkes "online" benutzt wurden, trugen quasi die Infektion an der Hardware- Firewall des NAT- Routers vorbei. Möglicherweise war das die Grundsteinlegung für den Siegeszug von Personalfirewalls und Security Suites ? Dass aber die eigentliche Ursache des Problemes weitestgehend ungepatchte Sicherheitslöcher in Betriebssystem oder Applikationen war (und ist) wird dabei gerne verschwiegen. Trotzdem hat eine PFW in solchen Fällen eine Daseinsberechtigung, da gerade Microsoft nicht zeitnah genug, entsprechende Patches zur Verfügung stellen kann. Für solche Situationen habe ich schon immer PFW's befürwortet, wobei aber auch hier der Wehrmutstropfen nicht zu schnell abgewischt werden sollte. Gerade im unprofessionellen Umfeld hat sich durch den Einsatz solcher Wunder- Schutzsoftware die Nachlässigkeit, die Comutersysteme nicht auf aktuellem Patchlevel zu halten, explosionsartig ausgedehnt. Viele Anwender, die heutzutage Security Suites einsetzen (Personalfirewalls im klassischen Sinn werden durch diese Produkte mit erweitertem Funktionsumfang zunehmend verdrängt) wissen überhaupt nicht, was ein "Patch" oder "Update" ist. Hier setzt wiederum meine Kritik an, dass durch den Einsatz diverser Schutzsoftware, die Anwender der Bequemlichkeit erliegen, alle sicherheitsrelevanten Computerdinge in die Obhut einer Software zu geben. Dieser Aspekt macht mich skeptisch...
Ein funktionierendes Sicherheitskonzept sollte immer zuerst am schwächsten Glied (demjenigen, der an der Tastatur sitzt) ansetzen. Was dann technisch dazu addiert wird, kann manigfaltig sein. Sobald aber der User aus diesem Sicherheitskonzept herausgedrängt wird bzw. zur Randfigur wird, ist jedes so aufgebaute Sicherheitskonzept zum Scheitern verdammt. Ob nun eine PFW oder eine Security Suite das Sicherheitskonzept unterstützen soll, ist sekundär. Primär ist entscheidend, dass alle Komponenten funktionieren. Wenn nun User denken, weil sie eben stolzer Besitzer einer Security Suite sind, die CrackZ- und Warez Seiten könnte man deswegen nun unbedenklich ansurfen, jeglichen Download durchführen und permant jeden "Yes" Button drücken, ist das eine fatale Fehleinschätzung. Die einschlägigen Foren beweisen allerdings diese Denkweise vielfach, wenngleich es nicht gerne offen angesprochen wird. Es ist dann immer die Rede von "Trojaner eingefangen" oder "plötzlich erscheinen frivole PopUp's auf dem Bildschirm"
Das Sicherheitskonzept wurde unterlaufen, ob nun eine Sicherheitssoftware installiert war oder nicht, war und ist dann unerheblich....
Jetzt kommt der nächste Schritt:
Ein Paketfilter auf dem NAT- Router verhindert in der Regel keine ausgehenden Verdindungen. Deshalb verwendet man ja gerne solche Sicherheitstools (respektive der sog. Firewallanteil). Es soll verhindert werden, dass unauthorisierter Datenverkehr von innen nach außen stattfinden soll.
Man muss diesen "unauthorisierten Datenverkehr" allerdings auch wieder definieren:
Handelt es sich um eine DNS- Anfrage, ein automatisch iniziiertes Softwareupdate, eine PhoneHome- Aktion, ein Broadcast oder gar um Malware- Aktionen ? Eine PFW versucht grundsätzlich alles zu unterbinden, was ja auch richtig ist, jedoch obliegt es weiterhin der Kompentenz des Users, zu unterscheiden, was nun "darf" und was "nicht darf". Der durchschnittliche User ist schlichtweg mit der Beantwortung dieser Fragen überfordert. Es mag wohl sein, dass in vielen Fällen die Entscheidung richtig getroffen wird, doch bleiben leider immer Fehlinterpretationen. Ich kenne auch Fälle (teilweise dokumentiert), wo User, wenn ihre Online- Aktivitäten nicht das gewünschte Ergebnis liefern, weil eben die Firewall "dicht" gemacht hat, eben diese aufgrund ihrer Administratorenmacht temporär deaktivieren. Das Sicherheitskonzept ist stark beschädigt und zu Fall gebracht worden, daran ändert auch nicht, wenn im Nachhinein die Firewall wieder eingeschaltet wird und diverse Tools like
Adaware,
Spybot Search & Destroy usw. über die Festplatte gejagt werden.
Meine persönliche Ansicht ist eben, dass gesundes Surfverhalten und vernünftiger Umgang mit dem Online- Computer Vorrang haben sollte. Zunächst sollte man alle Möglichkeiten ausschöpfen, die das Betriebssystem bietet. Wenn dann die Notwendigkeit gegeben sein sollte, weitere softwaretechnische Maßnahmen zu ergreifen, dann bitte, aber mit der notwendigen Verantwortung, dies auch richtig ins (hoffentlich) vorhandene Sicherheitskonzept einzubinden. Genau so verfahre ich und habe damit nachweislich keine Probleme, um auf die Frage im Zitat zurück zu kommen.
Wichtige Daten, werden auf externen Datenträgern gespeichert (Backup). Im Falle, dass einer meiner Rechner neu installiert werden müßte (evt. Image), weil sich tatsächlich über ein Exploit was eingeschlichen haben sollte, bereitet mir das keine Kopfschmerzen. Bisher mußte ich solche Maßnahmen immer nur nach Hardwaredefekten ergreifen. Also kann mein Konzept nicht so falsch sein. Gelegentlich lasse ich einen Freeware- Viren- & Antimalwarescanner profilaktisch drüberschauen, aber mehr als einige Cookies und "False Positives" wurden bislang nie gemeldet.
Jetzt zu den kritischen Dingen:
Punkt XXXXX
Eine Nicht-Infizierung durch Malware findet primär durch die Blockierung aktiver Inhalte statt, wenn die Desktop-Firewall
entsprechend konfiguriert ist (Standard-Regelwerk, Hersteller und Produktabhängig). Schon bewiesen
Sofern keine PFW vorhanden sein sollte und ich dies entsprechend selbst erledigen kann, sollte das auch in Ordnung gehen...
* ActivX-Elemente
* ActivX-Scripting
Da gibt es Dinge, die ich brauche, die ich möchte, die ich nicht brauche und die ich nicht möchte. Entsprechend aktiviere ich diese oder lasse es bleiben. Was ändert es, wenn ich diese Entscheidung in der Eingabemaske der PFW treffe ? Es bleibt von der jeweiligen Anwendung abhängig. Betrachten wir die Sache mal ganz naiv: Wenn ein User mit PFW ein
ActiveX Control im IE7 aktiviert, weil er es eben möchte, wird er es auch in der PFW zulassen (weil er es eben möchte)...
* Animierte GIFs
* Cookies
Hatte ich noch nie Probleme damit. Erläutere doch bitte mal, wie hier ein Gefahrenszenario entstehen könnte (es ist mir klar, dass auf unseriösen Webpräsenzen hiermit natürlich auch Manipulationen versucht werden) !
* Flash (Multimedia-Inhalte allgemein - swf,pps,mp3,wmv etc.)
* Java
Ich kenne noch die Zeiten des
Fido- Netzes, die sind längst vorbei und wer sich nicht von etwa einem Drittel der heutigen Internetpräsenzen explizit ausschließen möchte, muss hier eben mitziehen. Wer dann unbedingt die Schmuddelecken des Internets trotzdem besuchen möchte, muss dann sicherheitstechnisch diese Dinge temporär deaktivieren oder einer Security Suite vertrauen. Leider klappt das auch nicht immer. Da ich ja kein so wirklicher Theoretiker bin, habe ich das praktisch nachgestellt:
http://www.oberthal-online.de/malware.html
Soviel zur Schutzwirkung einer Security Suite !
* PopUp-Fenster (inkl. aktiver Inhalte)
* Versteckte Frames (inkl. aktiver Inhalte auch in Verbindung von Umleitungen auf gefakete Sites)
* JavaScripte
* VBScripte
Diese Dinge konnte ich ohne große Probleme gut sondieren. Selbst wenn ich nicht direkt die Gefahr anhand des Links erkennen konnte, war es nie wirklich eine ernstzunehmende Gefahr (Ich spreche rein für mich persönlich und meinem direkten familiären Umfeld). Mit etwas Paranoia könnte man nun glauben, dass ich völlig wahnsinnig wäre, so "schutzlos" das Netz der Netze zu benutzen, doch solange ich nicht die Probleme vorzuweisen brauche, die viele andere mit und ohne Sicherheitssoftware in diversen Foren nachhaltig dokumentieren, scheint offensichtlich mein Sicherheitskonzept ohne PFW/Security Suite deutlich besser zu wirken als das von vielen mit diesen zusätzlichen Sicherheitsmaßnahmen. Das sind Fakten, die nicht weg zu diskutieren sind und wenn ich damit irgendwann nicht mehr "sicher" genug sein sollte, kann ich ja immer noch umstellen...
Denn hier helfen auch nicht immer die "Eingeschränkten-Benutzerrechte".
Das ist mir immer noch nicht wirklich klar. Schon an anderer Stelle wollte ich, dass man mir ein (Beispiel) Szenario liefert, dass Malware den "eingeschränkten Useraccount" überwindet. Ich würde das gerne mal praktisch testen...
Eines ist aber unstrittig: Verläßt ein User sich auf eine Security Suite/PFW, die systembedingt mit min. Adminrechten arbeiten muss, gibt er den Schutz durch eingeschränkte Rechte teilweise auf, da viele Cracker und Malwareautoren sich demzufolge auf die PFW/Security Suite konzentrieren. Aufgrund dokumentierter Vorfälle versuchen die Hersteller einen Selbstschutz für die eigenen Prozesse zu positionieren. Inwieweit das erfolgreich ist, kann nicht zweifelsfrei bestätigt werden. Man verzichtet auf ein simples effektives Feature (eingeschränkter Useraccount), um über komplizierte Techniken diesen aufgegebenen Selbstschutz wieder zu erreichen. Das finde ich schon etwas absurd...
Ich gebe zu, dass die aktive Kontrolle von Traffic (z.B. PhoneHome) ohne PFW deutlich komplizierter ist. Ob das aber allein die Installation solcher Software rechtfertigt, bestreite ich für mich persönlich.
Denial of Service Attacken
Das würde ich für Privat- PC's eigentlich ausschließen. Das wäre, als würde man eine Reiserücktrittsversicherung für den Linienbus abschließen...
Dem Fazit von
AAHJA stimme ich voll und ganz zu. Auch erkenne ich anhand seiner Ausführungen für gewisse Bereiche unter bestimmten Bedingungen eine Einsatzberechtigung für eine
Personal Firewall. Eine
Security Suite schließe ich allerdings aus einem vernünftigen Sicherheitskonzept aus. Die zusätzlichen Probleme und der immense Zeitaufwand, die solche Softwareprodukte bescheren, stehen in keinem Verhältnis zu deren Nutzen. Dabei sind in diese Beurteilung, die tatsächliche Effektivität, der teilweise erhebliche Performanceverlust, die zusätzlich erwirkte Angriffsfläche und die bereits öfters nachgewissenen Spyware- Aktionen dieser Produkte selbst, noch gar nicht eingeflossen.
Gruß,
Thomas
