Warum Desktop Firewalls nix taugen

Tec

New member
#1
Warum Desktop-Firewalls nix taugen

Vorüberlegung
Zunächst einmal stellt sich die Frage, wovor dich eine Personal-
Firewall eigentlich schützen soll?

Im wesentlichen werden zwei Zeile angestrebt:
- Unerwünschten Datentransfer von innen nach außen unterbinden
- Schutz vor unerwünschten Zugriffen von außen

Einige PF enthalten noch einen http-Proxy zur Filterung von
Werbebannern oder Cokies.



Datentransfer von innen nach außen
Einige Beispiele aus dem realen Leben:

1)
Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
Navigator / Internet Explorer Plugin und kommuniziert somit nicht
*direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
Probleme, die sonst bei einem Internetzugang über ein Netzwerk
auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
Beispiel von GoZilla und WebCopier verwendet.
Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
Programmen um "Internet-Software" handelt.
Suchstichwörter: advert.dll, Radiate

2)
Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
findet.

Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung
der Firewall mit dem Internet (auch wenn ZA die "normale" Kommuni-
kation erkannt und unterbunden hat):

C:\WINDOWS\TEMP\RN7080.htm
|<HEAD>
|<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real
|.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx
|xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0x
|xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0x
|xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx">
|</HEAD>

Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x

3)
|Do you want Microsoft Internet Explorer to access the internet?
|Do you want Netscape Navigator to access the internet?
|Do you want Microsoft Windows 95 to access the internet?
|Do you want DFÜ-Netzwerk to access the internet?
|Do you want Zone Alarm to access the internet?

Vernünftig programmierte Spyware wird sich ja kaum
als "The ultimative hacking tool" in Windows anmelden.

4)
Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
Protokoll über jedes andere tunneln, solange man Einfluss auf
eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
geht das auch über "viele Ecken".

[1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige
Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich
diese auf Protokollebene korrekt verhalten und lediglich unerwünschte
Inhalte transportieren.


5)
Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
(also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
ware im guten Glauben zu installieren.

Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
http://www.securityfocus.com/archive/1/244026 (Englisch)


6)
Mittlerweile gibt es auch die ersten bösen Programme [tm], die
einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
http://groups.google.com/groups?selm=3B3B7A4E.C2EF27C4@hrz.tu-chemnitz.de
http://www.seue.de/y3k/y3k.htm
Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
machtlos sein.

Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
namen eines entsprechend präparierten Programmes überschreibt.

Normale Benutzerrechte reichen bei den meisten PFs,
um neue Regeln einfügen:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")


Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.


Zugriffsmöglichkeiten von außen
Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen:

Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und
Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern
auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel
sind Personal-Firewalls recht erfolgreich)

Bugs und Fehlkonfiguration (Default) z.B. in Browsern und
Mailprogrammen. Gegen erstere haben Personal Firewalls nur
dann eine Chance, wenn diese Fehler den Herstellern bekannt sind.
Bevor diese allerdings ihre Produkte angepasst haben, hat MS
(bzw. der Herstellers des fehlerhaften Programms) idR. ihre
Sicherheitspatches schon längst veröffentlicht.

Zu guter letzt könntest du dir noch eine Fernwartungssoftware
oder ein anderes böses Programm installiert haben (wahrscheinlich
eher unbewußt z.B. über Mail-Attachments, aktive Web-Inhalte
(ActiveX), oder im guten Glauben ein nützliches Programm zu
installieren). Dagegen sind PF ebenfalls machtlos: Es befindet
sich in diesem Fall bereits ein Programm auf deinem Rechner,
das die PF so verändern kann, dass sie Verbindungsaufbauten
von außen ohne Rückfrage annehmen. Oder noch leichter:
Es baut selbst eine Verbindung nach außen auf und holt sich seine
Befehl ab. (Damit fällt es in den ersten Abschnitt).



Weiterführende Informationen

Artikel im HaBo-WiKi:
http://wiki.hackerboard.de/index.php/Desktop_Firewall

de.comp.security.firewall FAQ von Lutz Donnerhacke:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Die "Zonealarm-FAQ" von Utz Pflock aus news:de.comp.security.firewall
enthält einige Informationen darüber, wie man als Privatanwender
einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit
erreichen kann. http://www.pflock.de/computer/za_faq.htm

Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.):
http://www.dslreports.com/forum/remark,2169468~root=security,1~mode=flat

http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.samspade.org/d/persfire.html (Englisch)




Schlussüberlegung
Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen,
dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat
oder sich in der Vertrauens-Einschätzung eines sehr schlampig
programmierten bösen Programmes vertan hat.

Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf
*nicht* verlassen kann. Daraus ergibt sich eine nicht zu unter-
schätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine
PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal
ein nicht vertrauenswürdiges Programm starten, ...

Zu guter letzt handelt es sich bei Personal-Firewalls (von
ipchains/iptables mal abgesehen) meist um closed-source Produkte,
bei denen sich wieder die Vertauensfrage stellt. Die einer PF
zur Verfügung stehenden Daten sind marketingtechnisch sicherlich
nicht uninteressant.
 
#2
Guten Tag

Da hat sich jemand aber viel mühe gemacht.
Finde ich super die "kleine" Überlegung. :))

Gruss Stefan
 
#5
Auf meinem Desktop gibts es zum einen keine anderen
"legitimen" Benutzer ausser mich (um mich auf Deinen Link zu beziehen) und mein privater PC wird auch nicht das Opfer von 1000 scans werden.

Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.

zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.

:wq!
 
#6
tja...ich hab mit @tec mal im query darüber gequatscht.....

mein fazit war (nachdem ich alle möglichen testprogramme laufen gelassen habe):

NIX D-FW

ich hab XP und wenn man ein wenig aufpasst ist das sys sicher (jo-es ist NIE sicher) und die D-FW machen so oder so nur ärger und mühe...und wen interessiert es ob mich die IP 2568x gescannt hat..... egal
 
#7
@seth
Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.
Falsch.
Du solltest die Seiten nicht nur lesen,sondern auch verstehen.

zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.
Jaja.Alles klar.
[ ]Du hast etwas verstanden.

EOD,weil sinnlos.
 
#8
Re:

Original von TwoFinGaZ
tja...ich hab mit @tec mal im query darüber gequatscht.....

mein fazit war (nachdem ich alle möglichen testprogramme laufen gelassen habe):

NIX D-FW

ich hab XP und wenn man ein wenig aufpasst ist das sys sicher (jo-es ist NIE sicher) und die D-FW machen so oder so nur ärger und mühe...und wen interessiert es ob mich die IP 2568x gescannt hat..... egal
Hmm. Also ein Grund sich zu quaelen waehre schonmal das man jede Menge lernt, ein besseres Gefuehl hat und Sicherheit auch Spass machen kann.

Ich hab seit 3 Tagen regelmaessige Scans von einer IP-Adresse aus Japan. Was die arme Seele noch nicht weis ist das er sich mit einem Honeypot auseinandersetzt, nichts erreicht und ich dabei jede Menge lerne. :)
 
#9
Re:

Original von seth
Auf meinem Desktop gibts es zum einen keine anderen
"legitimen" Benutzer ausser mich (um mich auf Deinen Link zu beziehen) und mein privater PC wird auch nicht das Opfer von 1000 scans werden.
Spaetestens seit DSL wuerde ich mich darauf nicht mehr verlassen. Kisten die lange im Netz sind und eine einigermassen taugliche Anbindung haben sind fuer viele Menschen interessante Ziele, sei es nur um von einem leicht zu knackenden Host angriffe auf ein anspruchsvolleres Ziel zu fahren.

Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.
NAK. Es gibt Dienste wo ein REJECT durchaus Sinn macht. Als Beispiel sei nur mal 113 AUTH genannt.

zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.
Du moechtest dich bitte mit den Grundlagen von TCP/IP, Firewalls und DDoS befassen.
 
#10
Kommentar

Hi Tec,

Deinen Beitrag finde ich sehr interessant, genauso wie alle anderen. Bei allen technischen Aspekten bzw. technischen Unzulänglichkeiten von vorhandenen DFW sollte man aber nicht vergessen, dass diese Programme auch einen wesentlichen Aufklärungseffekt für den "unbedarften" User haben!

Besser etwas nicht ganz perfektes als gar nichts!

Gruß
Missi
 
#12
@missi

Dann sollte aber auch der D-FW Hersteller fairerweise klarstellen DASS es
die-eine-oder-andere "unzulaenglichkeit" gibt.
..denn das miese an der Sache ist ja nun mal das der "unbedarfte" Internetnutzer sich auf Texte a la Computer BILD nur zu gerne verlaesst und sich (und seine evtl. auch wichtigen Daten) in truegerischer Sicherheit wiegt..
...

:wq!
 

Tec

New member
#13
@missi

...dass diese Programme auch einen wesentlichen Aufklärungseffekt...
Also bei der Tiny kann der User noch lernen das die TCP/IP Protokollfamilie nicht nur aus TCP und IP besteht und das es noch andere Ports als den 80iger gibt. Bei Norton und Zony kann man nur das zielgenaue ansteuern der immer wieder erscheinenden "Warnmeldungen" mit der Maus erlernen.



@seth

...sich auf Texte a la Computer BILD nur zu gerne verlaesst...
Stimmt! Und was propagieren die am laufenden Band -> die Norton FW. Und wie jeder weis taugt das Produkt nur als Ressourcen-killer etwas.
 
#15
RE: Kommentar

Original von missi
Hi Tec,

Deinen Beitrag finde ich sehr interessant, genauso wie alle anderen. Bei allen technischen Aspekten bzw. technischen Unzulänglichkeiten von vorhandenen DFW sollte man aber nicht vergessen, dass diese Programme auch einen wesentlichen Aufklärungseffekt für den "unbedarften" User haben!

Besser etwas nicht ganz perfektes als gar nichts!

Gruß
Missi
...zu meiner Verteidigung.... :D

Also...

- D-FW sind kein Zauberwerk, richtig!
- was die ComputerBild (@Seth) schreibt, ist zu 90% Müll, ok!
- D-FW Hersteller übertreiben gerne, ok!

Aber...
...meint Ihr wirklich nicht, das D-FW den "unbedarften" Benutzer sensibilisiert für Themen wie Cookies, JavaScript, Plug-Ins, falsche Druckerfreigaben, Throjan's, Ports etc ?( ?
Ich denke schon, denn für viele "unbedarfte" INET-Nutzer ist das doch - trotz Computerbild :D - alles ein ziemlich großes schwarzes Loch.

Gruß
Missi
 
#16
RE: Kommentar

Original von missi...meint Ihr wirklich nicht, das D-FW den "unbedarften" Benutzer sensibilisiert für Themen wie Cookies, JavaScript, Plug-Ins, falsche Druckerfreigaben, Throjan's, Ports etc ?( ?
Ich denke schon, denn für viele "unbedarfte" INET-Nutzer ist das doch - trotz Computerbild :D - alles ein ziemlich großes schwarzes Loch.
Nein. Eine PF gibt dem Benutzer den Eindruck das er sich um soetwas nicht mehr kuemmern muss weil ihn das Stueckchen Software nach Herstellerbeschreibung[1] ja vor allem und jedem schuetzen soll. Zusammen mit den von Tec zusammengetragenen Fakten stellen PFs IMHO auch nicht das kleine bischen Sicherheit her, welche besser ist als gar keine. Im Gegenteil.



[1] Der Hersteller ist (leider) fuer meisten Vertrauensperson da man nur Software installiert der man vertraut.
 

Tec

New member
#17
Aber...
...meint Ihr wirklich nicht, das D-FW den "unbedarften" Benutzer sensibilisiert für Themen wie Cookies, JavaScript, Plug-Ins, falsche Druckerfreigaben, Throjan's, Ports etc ?
ich habe noch kein Produkt gesehen welches ein gedrucktes Handbuch als Beilage hat, in welchem explizit beschrieben wird was z.B. ein Cookie ist und was für Sicherheitsprobleme dies hervorrufen kann.

Normalo_User_XY installiert sich das Programm, drückt auf GO! und freut sich das in der Systray ein buntes Icon mehr existiert. Ist XY nun mit ein bichen Neugierde ausgestattet wird er irgendwann mal darauf klicken und erfurchtsvoll sich die ganzen Menüs anschauen. Aus angst irgendwas falsches zu veranstalten, lässt er aber sofort die Finger davon.

Das beste ist dann noch wenn XY sich von einer ScanSeite Online die Ports scannen lässt und als Ergebnis sieht das alles Perfekt "dicht" sei. Nun wird er automatisch der Meinung sein, das die DFW ihre Arbeit tut....

Die einzige Hoffnung für XY besteht darin, das er aus all den "Warnungen" der DFW den Beschluss fasst, sich eingehender mit der Materie zu befassen und sich geeignete Lektüre besorgt.
 
#18
@Tec

Den Satz "Warum Desktop Firewalls nix taugen" gerade auch in Verbindung mit deinem Schlusssatz bzw. deiner Signatur bilden zusammen eine Botschaft die genauso extrem und einseitig ist wie die falschen
Versprechungen seitens der Softwarehersteller, die versuchen dem Laien die absolute Sicherheit durch den Einsatz ihres Produktes zu suggerieren. Stattdessen würde ich mir einen Satz an dieser Stelle wünschen, der den Sachverhalt mehr relativiert und der Thematik letztlich dadurch auch eher gerecht wird.

Würde ich der Logik deines Beitrags folgen, dann könnte ich in Zukunft mein Fahrrad unabgeschlossen an meiner Stammkneipe stehen lassen, weil es ohnehin möglich ist das Schloss mit entsprechendem Werkzeug zu knacken. Es geht hier jedoch um Wahrscheinlichkeiten und dass die Wahrscheinlich-keit eines Diebstahls durch den Einsatz eines Schlosses sinkt, wird wohl niemand bestreiten, auch wenn dadurch keine 100%ige Sicherheit gewähr-leistet wird.

Ich glaube dass es viel wichtiger ist dem Laien zu verdeutlichen wovor die PF schützt und wovor eben
nicht, sodass er ggf. selbst entscheiden kann ob er ein solches Produkt einsetzen will oder nicht.
Ansonsten würde ich dem Laien eher zum Einsatz einer PF raten.

Der Umstand, dass viele Anwender die Effektivität von Softwareprodukten verkennen, ist meiner
Meinung nach kein Punkt der den Wert einer PF in Frage stellt, sondern vielmehr die diesbezügliche
Aufklärung; ein Problem dass ich isoliert betrachten würde. Keinesfalls aber würde ich einem Laien davon abraten eine PF zu installieren nur weil er den Schutz, den diese ihm gewährt zu hoch einschätzt. Den Vergleich mit den Verhütungsmitteln spare ich mir an dieser Stelle.:)

Stichwort: Schlecht programmierte Trojaner. Wenn man davon ausgeht, dass ein nicht unerheblicher Teil der selbsternannten Hacker, Cracker oder was auch immer aus pubertierenden Teenagern besteht, die oftmals nur spärliche oder überhaupt keine Programmierkenntnisse besitzen, dann ist es doch auch sehr wahrscheinlich dass eine Menge Trojaner existieren, die eben nicht die nötige Funktionalität zur Umgehung einer PF implementieren. Insofern ist dies doch auch kein schwaches Argument für eine PF. Hinzu kommt, dass Cracker unter Umständen durch Social Engineering bereits im Vorfeld die mögliche Existenz einer PF auf dem Zielhost abklären könnten. In diesem Falle wäre ein Rechner ohne Firewall sicherlich attraktiver.

Ich teste gerne und häufig neue Programme aus den verschiendensten Bereichen. Hat man eine solche
Anwendermentalität ist es sehr wahrscheinlich, dass man sich früher oder später in der Vertrauens-einschätzung einer Software vertut. Meiner Meinung nach ebenfalls ein Punkt, der stärker ins Gewicht fällt
als du es schilderst.

Mein Fazit:

Wichtig ist eine sachliche und differenzierte Aufklärung auf diesem Gebiet. Insofern finde ich das vielmehr
die Beschreibungen und Anleitungen von PF häufig nix taugen.
Ich persönlich benutze weiterhin eine PF, in dem Bewusstsein dass sie eben nur ein gewisses Mass an Sicherheit bietet .

Einer Einladung zum Tee komme ich übrigens gerne nach; vorausgesetzt du hast Zucker im Haus.:)

mfg, softrunner
 

Chris

Active member
#19
Original von softrunner
Ich persönlich benutze weiterhin eine PF, in dem Bewusstsein dass sie eben nur ein gewisses Mass an Sicherheit bietet .
Das ist auch meine Meinung.

Andererseits sind viele Leute für differenzierte Aufklärung nicht empfänglich, weil sie sich schlicht nicht für das Thema interessieren, sondern einfach ein einziges Programm (möglichst bunt und schön) wollen, dass den PC 101% sicher macht. Diese würden das dann einfach überlesen, wenn da steht "Achtung, WENN oder ABER"...

P.S.: Den Vergleich mit dem Fahrrad find' ich sehr gelungen... ;)
 
Oben