Warum Desktop Firewalls nix taugen

Also ich trinke meine Pfefferminztee am liebsten pur. ;)

Nun es bleibt jedem selbst überlassen ob er eine DF einsetzt oder nicht. Dieser Text soll nur zeigen das es gefährlich ist sich nur auf ein Produkt zu verlassen, dessen Interna man überhaupt nicht kennt (wegen Softwaregeheimnis gar nicht kennen kann). Der Text soll ein Anreiz sein Benutzer von DF's zum Nachdenken zu bewegen.

Das viele User sich überhaupt nicht mit der Materie Sicherheit befassen sieht man auch an dem derzeit aktuellen Thema TCPA was indirekt auch zum "Warum Desktop Firewalls nix taugen"-Text passt.
 
Original von softrunner
Würde ich der Logik deines Beitrags folgen, dann könnte ich in Zukunft mein Fahrrad unabgeschlossen an meiner Stammkneipe stehen lassen, weil es ohnehin möglich ist das Schloss mit entsprechendem Werkzeug zu knacken. Es geht hier jedoch um Wahrscheinlichkeiten und dass die Wahrscheinlich-keit eines Diebstahls durch den Einsatz eines Schlosses sinkt, wird wohl niemand bestreiten, auch wenn dadurch keine 100%ige Sicherheit gewähr-leistet wird.

Gut. Aber wenn ich dem unwissenden Fahradbesitzer nun ein Stück Draht in die Hand drücke und ihm erkläre das dies sein Fahrad vor jedem Möglichen Angriff sei es Diebstahl oder Zerstörung schützt, ist es weniger witzig. Genau das versprechen jedoch die Anbieter von PFs, und haben nicht mehr als ein Stück Draht zu bieten. Damit kann man vieleicht noch einige Dummköpfe aufhalten, diese sind aber nicht das eigentliche Problem.

Ein gutes Schloss ist auch nur ein Teil des bei PFs fehlenden Sicherheitskonzeptes. Das beste Schloss bringt nichts wenn ich mein Fahrad in dunkle Ecken stelle in denen bisher jedes Fahrad verschwunden ist.

Ich glaube dass es viel wichtiger ist dem Laien zu verdeutlichen wovor die PF schützt und wovor eben
nicht, sodass er ggf. selbst entscheiden kann ob er ein solches Produkt einsetzen will oder nicht.
Ansonsten würde ich dem Laien eher zum Einsatz einer PF raten.

Eine PF schützt vor gar nichts. Die größte Gefahr für Computeranwender ist die Unwissenheit.

Eine Personal Firewall hat nichts mit dem Konzept einer "richtigen" Firewall gemein. Da sie direkt auf dem zu schützenden Rechner läuft, ist sie wie jedes andere Programm anfällig für Angriffe und Bedienfehler. Hinzu kommt, dass seit geraumer Zeit Tools im Internet kursieren, die bestimmte Personal Firewalls durch einen gezielten Angriff außer Gefecht setzen. Zudem verwirren die Programme unbedarfte Anwender mit kryptischen Warnmeldungen und verbreiten Panik, etwa bei harmlosen Portscans. Die Modifikationen mancher Personal Firewalls am TCP/IP-Stack reaktivieren auch längst beseitigte Sicherheitlöcher oder erzeugen neue. So werden bestimmte Angriffe erst durch automatische Blockierfunktionen möglich: Beipielsweise könnte ein Angreifer eine DoS-Attacke vom Nameserver des Anwenders vortäuschen. Die Personal Firewall blockiert diesen dann automatisch, was zur Folge hat, dass das System Hostnamen nicht mehr auflösen kann und die Internetanbindung quasi lahmgelegt wird.

Ein weiteres wichtiges Problem ist die vertrauenswürdigkeit. Wenn ich auf einem nicht vertrauenswürdigen System eine nicht vertrauenswürdige Software installiere, wird die Misere auch nicht besser, wenn vieleicht bunter.

Keinesfalls aber würde ich einem Laien davon abraten eine PF zu installieren nur weil er den Schutz, den diese ihm gewährt zu hoch einschätzt.

Ich würde jedem Anwender zu seiner eigenen Sicherheit davon abraten. Sie schlucken Speicherplatz, erhöhen die Komplexität des eigenen Systems (bieten somit eine breitere Angriffsfläche und machen das System instabiler) und generieren _keine_ Sicherheit, die man nicht auch anders haben könnte. Statt nun eine PF einzusetzen muss man präventiv tätig werden

Stichwort: Schlecht programmierte Trojaner. Wenn man davon ausgeht, dass ein nicht unerheblicher Teil der selbsternannten Hacker, Cracker oder was auch immer aus pubertierenden Teenagern besteht, die oftmals nur spärliche oder überhaupt keine Programmierkenntnisse besitzen, dann ist es doch auch sehr wahrscheinlich dass eine Menge Trojaner existieren, die eben nicht die nötige Funktionalität zur Umgehung einer PF implementieren.

Diese Möglichkeit ist in der PF schon eingebaut.

Ich teste gerne und häufig neue Programme aus den verschiendensten Bereichen. Hat man eine solche Anwendermentalität ist es sehr wahrscheinlich, dass man sich früher oder später in der Vertrauens-einschätzung einer Software vertut. Meiner Meinung nach ebenfalls ein Punkt, der stärker ins Gewicht fällt als du es schilderst.

Du bist ohne den Quellcode und einiges an Fachwissen nicht in der Lage die Vertrauenswürdigkeit einer Software auch nur annährend einzuschätzen.

Intellektuelle Erkenntnisse sind Papier. Vertrauen hat nur der, der von Erfahrungen redet.
Hermann Hesse (1877 - 1962), deutsch-schweizerischer Lyriker, Essayist, Erzähler und Kritiker
 
Eine PF schützt vor gar nichts. Die größte Gefahr für Computeranwender ist die Unwissenheit.
Absolut deiner Meinung. Und das eine PF nichts mit einer richtigen FW zu tun hat darüber brauchen wir wohl nicht reden. Aber das Hauptproblem der PF ist die Art und Weise wie sie angeprisen wird. iMHO kann eine PF durchaus ein kleines Teilchen eines Sicherheitskonzeptes sein, wenn man sich darüber bewusst ist was man da in den Händen hält. Viele der PF haben natürlich selbst darauf keinen Anspruch.
So werden bestimmte Angriffe erst durch automatische Blockierfunktionen möglich: Beipielsweise könnte ein Angreifer eine DoS-Attacke vom Nameserver des Anwenders vortäuschen. Die Personal Firewall blockiert diesen dann automatisch, was zur Folge hat, dass das System Hostnamen nicht mehr auflösen kann und die Internetanbindung quasi lahmgelegt wird.
Wie gesagt man sollte Wissen was man dort in den Händen hat und konfigurieren sollte man es auch können. Ich persönlich habe auch lieber die richtige Variante, aber wie tut man z. B. auf einem Standalone Windows ICMP-Pakete unterscheiden und Filtern?! Wenn ordentlich programmiert; dokumentiert und nicht mit falschen Versprechungen behaftet haben sicherlich selbst PF eine Daseinsberechtigung.
 
@Basic
Damit kann man vieleicht noch einige Dummköpfe aufhalten, diese sind aber nicht das eigentliche Problem.

Und genau das halte ich für falsch, denn es besteht ein Unterschied zwischen der kreativen Konzeption und
Entwicklung einer Software oder dem Zusammenmurksen eines Programms, das es ermöglicht auf ungeschützte
PC's Zugriff zu nehmen. Letzteres ist durch die Verbreitung von Code und Möchtegernhackertuts auf
unzähligen Websites jedoch kein Elitestoff mehr, sondern anders als in den 80igern einer exorbitanten Masse von
Dummköpfen zugänglich. Wenn also jemand meint er müsse sich irgendwie ein Programm besorgen oder
kompilieren um mich anzugreifen,dann mag ihm dies selbst als Dummkopf gelingen. In diesem Falle will ich doch
gerade einem solchen Dummkopf aber nicht zum Opfer fallen. Die Dummköpfe sind ein bedeutend grosser Teil des
Problems.

Vor einiger Zeit habe ich abends in einem Jugendtreff mit Internetcafe gearbeitet. So gut wie alle der Besucher
dieses Treffs haben keinen blassen Schimmer vom Computern und schon garnicht von Sicherheit. Jedoch kennen
erstaunlich viele den Format-Befehl und wissen ledeglich, dass man Schaden mit diesem Befehl anrichten kann,
ohne wirklich zu wissen was der Befehl eigentlich bewirkt. Dieses zugegebener Maßen platte und extreme Beispiel zeigt jedoch auf, dass es keines
tiefgehenden Fachwissens für illegale Aktionen bedarf und das Möglichkeiten zur Sabotage und Manipulation von
Systemen selbst für völlig unmotivierte Teenies häufig von grossem Intersse sein können. Es war, wenn auch
jedem pädagogischen Auftrag zum Trotz, auf jeden Fall richtig diesen Befehl unzugänglich zu machen, auch
wenn wir wissen, dass es noch ca. 20000 andere Möglichkeiten gibt ein System lahmzulegen.

Eine PF schützt vor gar nichts. Die größte Gefahr für Computeranwender ist die Unwissenheit.

Wenn ich auch dem zweiten Satz zustimme, so halte ich den ersten für falsch. So gibt es z.B. eine ganze Reihe von Programmen, deren Funktionsumfang absolut keine Form des Internetzugriffs rechtfertigt, die aber dennoch versuchen genau diesen zu erhalten, häufig genug sogar in Form von Serverdiensten. Viele dieser Programme versuchen dies tatsächlich über eine 0815-stinknormale Socketsanforderung- und Nutzung ohne dass der Code auch jede noch so einfache Möglichkeit zur Umgehung einer PF für sich beansprucht. Hier kann der Schutz einer PF
durchaus greifen, denn selbst wenn das Programm versucht durch einen entsprechend, wichtig klingenden Namen seinen Internetzugriff zu rechtfertigen, so ist es doch ein Leichtes zu folgern das der eben getätigte Download mit
anschliessender Installation irgendwie mit dieser PF-Meldung zusammenhängt. Ich behaupte nicht, dass eine PF dem Anwender das Denken abnimmt. Es gibt auf diesem Sektor eine Vielzahl von Programmen, deren Internetzugriff hier erfolgreich unterbunden wird, warum auch immer. Was ich damit sagen will ist: Es kommt im Endeffekt doch darauf an wie häufig eine bestimmtes Problem in der Praxis auftritt und weniger darauf ob es vielleicht noch irgendeine exotische Form des Angriffs wie z.b. deine Nameserver-DoSAttacke gibt. Ganz abgesehen davon ist mir ein Denial of Service immer noch lieber als der Transport irgendwelcher Daten hinaus ins Netz.

Zudem verwirren die Programme unbedarfte Anwender mit kryptischen Warnmeldungen und verbreiten Panik, etwa bei harmlosen Portscans.

Ich kann an einer Meldung wie z.b.:"blabla.exe versucht auf das Internet zuzugreifen" nun wirklich nix kryptisches erkennen. Ich sehe natürlich ein, dass eine Meldung wie:" Packet sent from 217.231.148.226 /Tcp-Port 3744..."
den unbedarften Anwender verwirren kann. Dies ist für mich jedoch ebenfalls kein Argument gegen eine PF,
denn 1. wüsste ich selbst nicht wie ich es anders formulieren sollte und 2. verlangt nahezu jede moderne Technolgie unserer Zeit dem Anwender eine gewisse Fertigkeit ab, diese zu bedienen. "Echte Firewalls" sind .z.b. häufig ebenso anwenderunfreundlich und warten ebenfalls mit kryptischen Bezeichnungen im Setup-Bereich auf.
Insofern kann man hier über die Usability diskutieren, so wie man dies auch bei unzähligen anderen
Softwareprodukten tun kann. Ich behaupte ja nicht, dass es keine schlechten PF's gibt. Was den Punkt
des Panikmachens anbelangt: Dies ist eine Frage für welche PF man sich entscheidet und es gibt sogar einge PF's bei denen ganz im Gegenteil die Meldungen
oft sowas enthalten wie:"Keine Sorge" oder "No Panik", weil die Softwarehersteller das Problem solcher Meldungen und deren Wirkung auf den unbedarften Anwender nämlich schon lange erkannt haben.

Die Modifikationen mancher Personal Firewalls am TCP/IP-Stack reaktivieren auch längst
beseitigte Sicherheitlöcher oder erzeugen neue.

Ok, aber eben nur manche. Wenn ein Anwender eine PF installiert die durch Änderungen der Protokollschichten eine altes Sicherheitsloch öffnet ist dies natürlich von Nachteil. Dies ist aber das Resultat fehlerhafter Programmierung. Fehlerhafte oder schlampige Programmierung kann doch aber nicht als Argument für den Verzicht auf ein Softwareprodukt herhalten. Ich überzeichne jetzt mal: Ich kann auf jegliche Form von Software verzichten oder muss draussen schlafen, weil Pfusch am Bau ebenfalls ein häufiges Problem darstellt.
Und schliesselich: Wenn jemand z.b. 1 Jahr lang eine PF auf seinem Rechner hat, die ihn vor 5 oder 6
unautorisierten Internetzugriffen von Innen bewahrt hat und die Nachteile der geöffneten Sicherheits-
löcher noch nie zum Tragen gekommen sind, schlicht und ergreifend, weil es einfach nicht passiert ist, dann hat die PF dem Anwender doch für Jahr ein gewisses Mass an Schutz gewährt. Ich verstehe garnicht wie man angesichts solcher Erfahrungen, die nicht nur ich, sondern auch einige andere meiner Freunde gemacht haben noch davon sprechen kann, dass eine PF absolut keinen Sinn macht. Insofern erscheint mir auch der Vergleich mit dem Draht und dem Fahrrad sehr unpassend, denn 1. war ein Stück Draht niemals für den Schutz eines Fahrrads vorgesehen und 2. denke ich dass eine PF schon häufiger erfolgreich ihren Dienst verrichtet, als ein Stück Draht zur Verhinderung eines Fahrraddiebstahls beitragen würde.

Du bist ohne den Quellcode und einiges an Fachwissen nicht in der Lage die Vertrauenswürdigkeit einer Software
auch nur annährend einzuschätzen.

Korrekt. Nichts anderes wollte ich sagen. (Nur für den Fall, dass es irgendwie anders rüberkam)

Nochmal: Wichtig finde ich eine sachliche, differenzierte Auseinandersetzung mit dem Thema.
Ich finde das Chris etwas sehr wichtiges in seinem letzten Beitrag losgelassen hat: Viele Anwender sind nicht offen für diese Aufklärung. Deswegen finde ich es auch wichtig dem Laien nicht gleich ein:"Deine PF kannst du in den Müll schmeissen" auf's Brot zu schmieren, weil dieser es womöglich völlig Kritiklos in die Tat umsetzen wird.
Der Anwender soll nicht glauben, dass ihn die PF 100% schützt, aber wenn wir ihm sagen, dass ihn die PF überhaupt nicht schützt machen wir den gleichen Fehler wie die Softwareindustrie in die andere Richtung.
Und dass eine PF ein gewisses Mass an Schutz bieten kann, ist empirisch nachweisbar.

mfg, SoftRunner

P.S.: Kandis ist auch ok.:))
 
@SoftRunner

Mal eine Bemerkung am Rande, eins der grossen
Probleme einer D-FW ist auch, das sie lediglich auf
das laufende OS aufgesetzt ist und damit auch alle
Lücken des OS hat, wie sie zum Beispiel auch Viren,
Trojaner etc. zum Ausschalten der Firewall-Software
nutzen!
Desweiteren ist Dein Hinweis mit "... eine D-FW ist
besser als keine..." so nicht richtig! Weil die aller
meisten Leute wie selber schreibst, sich nur sehr
rudimentär für die Funktionsweise interessieren und
schon garnicht über Sicherheitslücken nachdenken!
Ich denke da nur mal an Windows, welches man mit
den neusten Patches sicherlich auch relativ sicher
bekommt! Aber nur die wenigsten "normalen" User
laden sich Sicherheits-Patches runter! Auch hinkt Dein
Vergleich eines Fahrrad-Schlosses ein bißchen! Da ja
schließlich auch ein Fahrrad-Schloß nicht gleich
einem Fahrrad-Schloß ist! Oder? Hinzu kommt noch,
da man bei minimalen Aufwand die Sicherheit passiv
durch "verantwortungsvolles" Surfen etc. noch mehr
steigern kann als nur durch das "blosse Vertrauen" auf
eine D-FW!

MfG Rushjo
 
Also für mich bleibt die D-FW *ein* Bestandteil eines Sicherheitskonzeptes. Genau dafür ist sie meiner Meinung auch gut. Gerade Dinge wie ein Windows Media Player, der versucht, beim einfachen Abspielen eines Videos ins Internet zu gelangen finde ich es sinnvoll, da eine solche Anfrage keinerlei Daseinsberechtigung hat.
Natürlich kann man sich nicht nur auf die D-FW verlassen!!! Das sollte aber jedem, der ein wenig über die Materie weiß, klar sein. Und mit diesem Bewusstsein fällt auch das Argument, eine D-FW wöge den User in falsche Sicherheit, in diesem Falle (klar, einen DAU wiegt sie immernoch!) weg.
 
Hi Chris,

wenn Du Deinen eigenen Text mal liest,

Original von Chris
Natürlich kann man sich nicht nur auf die D-FW verlassen!!! Das sollte aber jedem, der ein wenig über die Materie weiß, klar sein. Und mit diesem Bewusstsein fällt auch das Argument, eine D-FW wöge den User in falsche Sicherheit, in diesem Falle (klar, einen DAU wiegt sie immernoch!) weg.

dann sollte Dir auffallen, das die überwiegende Menge
der Menschen allgemein und auch der Computer-
User DUMM sind, auf ALLES klicken, was blinkt, so
oder so Microsoft ALLES glauben und vorallem total
desinteressiert sind für alle "Sicherheitsbelange", die
mit "Denken" oder gar "Nachdenken" zu tun haben!!!!
Und gerade diese Gruppe habt Ihr als "Zielgruppe"
für eine D-FW beschrieben! :D :D

MfG Rushjo
 
Ich denke das bringt es schon auf den Punkt. Leider ist die Zielgruppe nunmal im DAU-Bereich zu suchen, die Dinger sind oft schlampig programmiert und werden unter falschen Versprechungen verkauft bzw. angepriesen. Aber der eigentliche Punkt ist doch das jemand dem das bewust ist eben doch einen gewissen Nutzen aus demn Dingern ziehen kann. Man kann ja nunmal nicht sämtliche DF verfluchen weil die meisten die sie benutzen sie weder verstanden haben und schon gar nicht konfigurieren können. Um z. B. die Dos Attacke von Basic nochmal aufzugreifen, es kann in jeder halbwegs vernünftigen DF festgelegt werden das bestimmte IPs nicht gesperrt werden. Tja wenn man dann nicht weiss was ein DNS Server ist, pech gehabt. Ich benutze auch keine DF da sie meinen Ansprüchen auch absolut nicht genügt. Aber jemand der einen standalone Windowsrechner hat der direkt am Netz hängt kann durchaus einen gewissen nutzen daraus ziehen und eine DF in sein Sicherheitskonzept einarbeiten. Die Fehler sind weniger in der Software zu suchen (natürlich auch) als viel mehr in dem Umfeld in dem sie vertrieben und genutzt werden.
 
@Rushjo: Eben. Ich habe ja auch nicht gesagt, dass eine DF für DAUs geeignet ist (eher das Gegenteil!), sondern dass ich (ich halte mich mit Verlaub nicht für einen DAU ;) ) sie als *Teil* meines Sicherheitskonzeptes (das noch aus anderen Maßnahmen besteht) einsetze.

Ich bin auch der Meinung, dass DFs oft unter falschen oder übertriebenen Versprechen angepriesen werden.
Deshalb sollte man eben auch nicht denken, man sei damit allein absolut sicher...
 
Hallo erstmal,

Nach dem Lesen dieses Threats bin ich viel schlauer als vorher und wei nun das DFW nix taugen. Was ich aber noch nicht weiß und mich nun sehr interresieren würde ist: Was giebt es für Allternativen die etwas bringen. Ich habe ein Fli4l Router. Ist das ausreichend wenn dieser richtig Konfiguriert ist? Es kann ja nicht sinvoll sein das sich jeder der das Inet priv. nutzt sich ein extra PC hinstellt auf em nur eine "richtige" FW läuft.

Wie könnte der schmale Grad zwischen Sicherheit und Übertriebenen Maßnahmen aussehen?

MFG Shefifon
 
Für einen normalen User reicht ein Router absolut...!!! Ein Sriptkiddie schafft es eh nicht auf nicht routbare IP-Adressen zuzugreifen (falls keine gerouteten Dienste laufen) und jemand mit entsprechendem KnowHow wird sich nicht für deinen Rechner interessieren insofern du ihm nicht eine Möglichkeit gibst ihn immer wieder zu finden ( z. B.DynDNS) und ihn somit für andere Angriffe zu missbrauchen.

Letztendlich ist es eine Frage des eigenen Sicherheitsbedürfnisses und dem Interesse dem man der ganzen Sache entgegen bringt. Meine Lösung ist z. B. für ein privat LAN volkommen oversized, aber ich habe spass am Thema und richte allein dadurch schon mehr ein.

Zudem ereicht man einen grossteil der gewünschten Sicherheit mit dem umsichtigen Umgang mit fremden Programmen, Mails und Surfverhalten.

Wenn du spass an der Sache hast (hört sich eher so an als wenn es für dich ein nötiges Übel wäre) zähle ich dir gerne zig Sachen auf die man noch machen kann....
 
Wenn es dir nichts ausmacht würde es mich schon interresieren was noch machen kann. Das gute daran is ja das man immer etwas dazulernt.
Ich habe im Moment noch NIS instaliert und da ich ja jetzt weiß das es kaum etwas bringt werde ich die DFW deinstalieren.
Würde mich freuen wenn du mir ein paar andere Möglichkeite aufzeigen würdest.
Ich habe manichmal E-Mule laufen. Zählt dies zu gerouteten Diensten? Was muss ich wenn ja beachten.

Im Umgang mit fremden Programmen und Mails besteht bei mir kein nachholbedarf.

DAnke im Vorraus
MFG Shefifon
 
Du sagtest ja bereits das du über einen Router gehst, dieser wird höchstwahrscheinlich mit iptables bzw. stateful inspection arbeiten (Es werden keine neuen Verbindunsversuche von aussen angenommen). Was willst du also noch speziell erreichen??
Ich habe manichmal E-Mule laufen. Zählt dies zu gerouteten Diensten? Was muss ich wenn ja beachten.
Falls du die entsprechenden Ports auf deinem Router geöffnet hast und sie auf deinen Win PC umleitest, ja. Das ding ist ganz einfach das du damit eine Tür geöffnet hast. Erstens kann jederzeit ein Bug in Emule und Co auftreten. Zweitens würde ich z. Zt. wenn ich jemanden einen Trojaner unterschieben wollte ihn auf Port 4662 lauschen lassen. Es ist halt die Frage wie weit du dich einschränken willst und an einem Heim PC möchte man ja nun auch nicht auf alles verzichten.
 
Tja ich möchte nicht besonders weit einschränken. Es wäre gut wenn ich irgent was machen könnte was die Emule Ports z.B. 4662 nur für Emule zulässt. Also das für alle anderen Programme dieser Port geschlossen ist.
Auserdem habe ich Hemmung davor meien FW zu deinstalieren ohne sie durch irgentewas zu ersetzen. Dann kann doch jedes Programm über die offenen Ports Daten verschicken. Die FW blockt doch hier teilweise Programme ab. ABer warscheinlich ist das wieder nur mehr schein als sein oder? aber...gibts da nicht noch was anderes?

MFG
 
Es wäre gut wenn ich irgent was machen könnte was die Emule Ports z.B. 4662 nur für Emule zulässt
Hier haben wir mal wieder das Problem das du auf Aplikationebene filtern willst. Dies ist mit einem Paketfilter wie iptables leider nicht möglich... Tatsächlich eignet sich für diesen Zweck eine DF. Dies ist jedoch nur sinnvoll wenn diese mit md5-hashes oder ähnlichem arbeitet (tut NIS das?). Auf diese Weise kannst du dann die Ports nur für Emule zugänglich machen. Wie gesagt die Dinger haben eine Daseinsberechtigung.
Dann kann doch jedes Programm über die offenen Ports Daten verschicken.
Hier wäre der Einsatz eines Proxys auf dem Router angebracht.
Die FW blockt doch hier teilweise Programme ab. ABer warscheinlich ist das wieder nur mehr schein als sein oder?
Nein , sie blockt tatsächlich Programme ab. Es sind schliesslich noch nicht alle Programmierer auf eine Methodik umgestiegen die die Umgehung erlaubt. Jedoch tun dies oft gerade Programme bei dennen du dies nicht willst, z. B. die Spyware Aureate etc. Mann darf halt nicht davon ausgehen das man mit einer DF alles klein kriegt....
gibts da nicht noch was anderes?
Es kommt eben auf das Gesamtkonzept an....
 
Alternativen bieten...

Ihr schimpft nur über die DF oder die PF. welche alternativen aber hat denn ein DAU nun wirklich, sich vor atacken zu schützen?
Was kann sich der normale Standard-DAU selbst hinstellen und einstellen, das es ihn mehr als 50%ig schützt?

ich kenne keine entsprechende software. Von daher sollte man nicht den DAU für seine unwissenheit verurteilen, sondern eher den hersteller für seine mangelnde Aufklärung und fehlende Anleitungen und Erklärungen zu seinem Produkt.

Denn wer sich so eine PF holt, der wird auch sicherlich mal irgendwann im handbuch schauen, ob und wie man sie richtig einstellen kann. Wer sich jedoch nicht um das Thema kümmert, der kauft sich auch keine PF, geschweige denn, er liest sich das (oft mangelhaft) beschriebene Handbuch durch.

Sicherheit ist wichtig, aber sie muss auch benutzbar sein, sonst hat sie einfach keinen Wert.
 
Der DAU sollte sich zuerst ein paar Bücher über Security zu Gemüte führen bevor er sich ins Getümmel stürzt (spätestens nach der x-ten Trojaner-Verarsche :D ). Das Internet ist leider ein Tummelplatz für psychotische Kiddie-Hacker mit Ambitionen zum Grössenwahn (siehe unseren Brain15 ) geworden, was dazu führt, das unbescholtene Bürger öfters mal ungewollt ihren PC mit unbekannten Gästen teilen müssen (u know what i mean?). Diese Personal Firewalls kann heutzutage jeder 08/15-Trojaner deaktivieren, weshalb der Schutz dieser Programme sehr fraglich ist.

Wer Auto fahren lernen will, macht auch erst den Führerschein dazu, dasselbe sollte eigentlich auch für das Internet gelten.
 
bücher lesen...

Welche Bücher sind für DAU´s geeignet sie zu lesen. Sicher, der Markt ist voll von Bücher über Internet-Security. Doch wie es bei vielen PFs ist, sind die meisten davon nur absouluter Schrott.
Doch woher soll der DAU wissen, ob dieses eine Buch "gut" ist, oder ob das billigere von Bild nicht viel besser ist?

Aufklärungsbedarf, und Informationsbedarf besteht. Da gebe ich Dir vollkommen recht. Nur sollte es irgendwo eine Möglichkeit geben, den DAUs zu sagen, das Buch ist gut, davon lass die Finger.
Es ist doch wie bei den PF. Die einen sind gut, und wenn man sie richtig eingestellt hat bieten sie auch relativen Schutz, doch die anderen ( ein Großteil) ist absouluter Schrott.
Nicht anders ist es mit den Büchern. Ich habe auch eine Weile gebraucht, bis ich zwischen Sinnvollen Büchern und schrott in der Liturgie unterscheiden konnte. und ich möchte mich nicht als DAU bezeichnen.
Aber TEC, du hast recht, mach mal ne Surfschule fürs internet auf, ich bin dann dein erster Surfschüler... *smile*
MfG

Guardian
 
Wenn die D-FW nach einem Router mit Iptables kommt macht sie sind Sinn. Den die D-FW versuch zumindest auf einen Teil der Daten aufmerksam zu machen die nach außen gehen.
Wenn der Router richtig konfiguriert ist dann öffnet er nur einen Port auf Aufforderung von innen. Ansonsten Global = Drop und viel Angriffe von außen haben keinen Chance weil sie einfach verschwinden. So hat der Angreifer keine Rückmeldung und ein Broadcastping / Scann hat damit an Wirkung verlohren.
 
Zurück
Oben