1. Fragwuerdige Funktionalitaet.
Um den Unsinn einer \'personal firewall\' zu durchleuchten, ist es noetig, die einzelnen Teile, die eine handelsuebliche (Windows)Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.
\'application control\'-Funktionalitaet
Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation laeuft, ueberwachen zu koennen, ist gelinde gesagt einfach unsinnig. Innerhalb der letzten Monate ist gezeigt worden, dass eine \'personal firewall\' durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Kaeufer dieser PF gerne glauben lassen moechte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage fuer einen Paketfilter unbrauchbar werden laesst (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software laeuft unter denselben Rechten. Eine \'personal firewall\' genauso wie das trojanische Pferd. Im Zweifelsfall beendet die \'boese Software\' die \'personal firewall\' einfach (es sei nicht verschwiegen, dass dies auch die unter Wie kann ich mich schuetzen? aufgefuehrten Tools betreffen kann). Als Beispiel sei ein Teil eines Usenetpostings (intern) angefuehrt, in welchem ein Visual-Basic-Skript beschrieben wird, welches (als Beispiel\'firewall\') den Zonealarm-Task einfach beendet. Noch eleganter finde ich ein Pascalprogr. (offline) von Steve Tricky, dass den OK-Button von Popup-Fenstern einfach per Software \'anklickt\'. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfaellig. Der einzig effektive Weg, sich gegen boesartige Software zu schuetzen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.
IDS-Funktionalitaet
Unter IDS versteht man ein \'intrusion detection tool\', sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reisserischen Meldung honoriert werden: \'hack attack auf Port $x blocked!\' - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen koennen, derart zu umschreiben. Ich persoenlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall haette etwas getan, was ansonsten uebel Schaden angerichtet haette. Dem ist aber nicht so. Keine Dienste == keine Angriffsflaeche. IDS-Systeme sind m.E. fuer richtige Firewallsysteme interessant, aber nicht fuer Privatanwender, die ueblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die \'Attacken\' auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine PF jemals koennte.
Paketfilterfunktionalitaet
Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusaetzliche Angriffsflaeche bietet und ausserdem die TCB (trusted computing base) vergroessert (soll heissen, Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (auch ein Erfahrungswert)). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalitaet bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt uebrigens noch einen weiteren Nachteil in Sachen Paketfilter: die derzeit erhaeltlichen \'personal firewalls\' koennen kein \'stateful filtering\', soll heissen, aktive Protokolle a la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird naemlich auch zum Server und bindet einen temporaeren Dienst auf einem der High Ports (>1024), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die \'personal firewall\' nun wissen, dass sie fuer genau diese Anwendung genau diesen Port, und auch nur fuer dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.
Zum ganzen Bericht
Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge
für die freunde von za und nis sicher ein schwerer schlag... verständnis und lernbereitschaft vorausgesetzt.
;-)
Hallo garftermy,
Für mich ist eine firewall gelinde gesagt unnutzer als Zahnschmerzen! Die immer wieder kehrenden Diskussionen muß man einfach überlesen, weil sie extrem nerven.
Gruß Soulmann
Die beste Firewall ist ein vorgeschalteter DSL Router.
Wer noch analog Online ist, sollte zumindest die integrierte XP Firewall aktivieren, bei früheren OS tuts zumindest ne ( eigentlich nicht zu empfehlende) Desktop Firewall.
Ohne Firewall würde ich aber nicht surfen.
"Die beste Firewall ist ein vorgeschalteter DSL Router."
Habe ich seit heute. ;-)
Glückwunsch dazu ventox
Denn das bedeutet das du dsl hast, und damit als möglicher kritiker meiner "Bilderpostingliebe" wegen der bilddateigrößen ausfällst ;-)
Um jedoch diesen thread heir nicht zu wüstem geschimpfe zwischen befürwortern und nicht beführwortern von Desktopfirewalls verkommen zu lassen, sie folgendes erwähnt, um den beführwortern direkt ein fadenscheiniges Pro-Argument mehr zu nehmen:
Ein DSL-(modem)router ist vom Prinzip her natürlich keine FIREWALL! Network Adress Translation (NAT) ist vom Prinzip her natürlich auch keine Firewall!
Das behauptet auch niemand im sinne einer seriösen technischen rein wissenschaftlichen Beschreibung, liebe Beführworter!!
AAABER solch eine Technik wirkt wie eine Lösung für die meisten derjenigen die sich eine desktopfirewall zulegen wollen weil sie dies mit dem Technischen Hintergrundwissen auf Computer-Bildzeitungsdurchschnittsleserniveau als einen Wunsch äußern eine Desktopfirewall benutzen zu wollen!
(So damit wäre allen Schreihälsen; NAT ist gar keine firewall! Du brauchst x,y, oder zsoft PFWprogramm; das argument Pro DTPFW entzogen!)
[Sollte es entgegen meinem Wissen einen Hersteller einer softwarefirewall geben der zsoft heißt, so erkläre ich schon hiermit: Dieser ist nicht gemeint!!]
Mann weiß ja nie, ob bei den heutzutage tätigen Abmahnanwälten eine solche Distanzierende Klarstellung nicht besser notwendig ist!! ;-)
ein vorgeschalteter Router ist aber keine FW, sondern er schützt nur aufgrund seiner NAT Funktion.
manche Modelle haben zusätzlich eine SPI Funktion , aber so wirklich toll ist die nicht.
Warum nicht ohne Firewall? Was soll denn ein Heimbenutzer mit 'ner Firewall anfangen? Warum nicht auch noch Kanonen, damit kann man wunderbar auf Spatzen schießen...
Dann erklär das doch mal den Würmer - die sagen sich nämlich nicht ach das ist Karl-Heinz den lassen wir mal in Ruhe weil den stören System abstürze und zusätzlicher Traffik in seinen Volumentarif ;)
Und die Windos interne FW(XP) verbraucht ja wohl kaum System Ressourcen und ein Router bietet auch neben der Hardware Firewall(die jeder Software Lösung vorzuziehen ist) noch andere Vorteile.
und wenn amn keine von den beiden oben genannten möglichkeiten nutzen kann, weil er auf ein altes Win System angewiesen ist, ist der einzigste kandidat für einen sinnvollen Einsatz einer Desktop FW.
Am besten sind natürlich alternative BS, Linux z.B. ist sehr schön.
und da haben wir den ersten denkfehler @massa
eine DesktopFW verhindert nicht das eindringen eines wurmes, und auch nicht das dieser führt zu: System abstürze und zusätzlicher Traffik in seinen Volumentarif
Jede desktopfirewall die deinen Browser ungehindert komunizieren läßt, ist machtlos gegen WÜRMER!!
Schaff Dir einen vernünftigen Virenscanner an, halte den aktuell und dann brauchst Du den anderen Schrott nicht.
(Seit 1.1.2003 firewall-, viren- wurm- und trojanerfrei)
Allerdings war es sehr mühsam, ZA zu entfernen. Ätzendes Zeug.