Warum Desktop Firewalls nix taugen

#41
ich würd ganz gerne mal wissen obs eine firewall gibt die 100%ig sicher, anscheined nicht, sonst hät sie ja jemand erwähnt. Nächste frage: wenn sone fw nichts nützt wie soll man dann sein pc jemals sichern können? Ich meine es muss doch was geben das eine fremdzugriff ohne irgendwelchen eingriffen absolut automatisch verhindert... reicht es aus wenn man sich JAD draufklatscht, anschmeisst und los surft? erst ist es anonym dann nich mehr jetzt ANGEBLICH wieder... ich blick da nich wirklich durch... ich weiss wohl nie wirklich ob ich sicher surfe, wa! Schade eigtl aber wenn ich mir symantec angucke ich soll für teures geld ne software zahlen die fürn ars** is, was soll das??? Gibts da eine pausible erklärung wie man sich schützen kann?
 

Chris

Active member
#43
Original von Fatzky
ich würd ganz gerne mal wissen obs eine firewall gibt die 100%ig sicher, anscheined nicht, sonst hät sie ja jemand erwähnt.
Die Frage hast Du Dir ja schon selbst beantwortet. Die erste Regel wenn Du Dich mit dem Thema Sicherheit befasst lautet immer: "Es gibt keine Sicherheit. Nur verschiedene Grade der Unsicherheit."

Nächste frage: wenn sone fw nichts nützt wie soll man dann sein pc jemals sichern können?
Du musst Dich von der Vorstellung lösen, dass ein einziges mächtiges Tool gibt, das Deinen Computer sicher macht! Sicherheit erlangt man durch eine vielzahl von Softwaresystemen aber vor allem Aufmerksamkeit, Konsequenz in seiner Sicherheitspolitik und auch manchmal etwas Paranoia.

ich weiss wohl nie wirklich ob ich sicher surfe, wa!
Das ist schonmal ein vernünftiger Ausgangspunkt für ein Sicherheitsdenken! :)

Schade eigtl aber wenn ich mir symantec angucke ich soll für teures geld ne software zahlen die fürn ars** is, was soll das???
Symantec stellt sehr wohl gute Software her (IMHO)! Ich benutze beispielsweise Norton AntiVirus 2003 und halte es für ein gutes AV.
 
#45
Hm, ok, das das Dokument nun 1000 mal kopiert worden ist ist klar *g*
Nein, tut ja nichts zur Sache.
Naja, ob Desktop Firewalls den User nun wirklich dazu bewegen sich schlau zu machen über Gefahren und sich mit dem Thema Sicherheit zu befassen.... vielleicht ja, viele User meinen aber sie haben die Firewall und seien sicher.

Einfach nur dumm finde ich wiederrum den Threadtitel "Warum Desktop Firewalls nichts taugen". Der Grad der Dummheit wird hier wohl bei jedem Leser individuell bis gar nicht bemerkt werden, weil es ja nicht falsch ist, es aber darauf ankommt was man denn nun von einer Desktop Firewall erwartet, und ich denke nach einiger Überlegung werde ich da Zustimmungen bekommen.

Das sind nunmal halt keine Zauberprogramme die man da installiert, aber wenn ich eine halbe Stunde online bin, mich dann entspannen möchte und bei einem kleinem Spiel in den Vollbild Modus wechsle *g* und nach Beendigung die Meldung meiner Firewall auf dem Bildschirm lese "W32.LoveSan" wurde auf Port XXXX geblockt oder nicht ist, wie ich denke, ein Unterschied. Wenn solche Probleme durch kleine Desktop Firewalls gelößt werden können finde ich sie schon praktisch. Das nimmt bei (bei vielen Usern großen) Gesamtsicherungsprinzipien doch schon ein wenig Arbeit ab und schützt mich vor nervigen Virenbefall etc.

Auf den größeren Schutz den sie mir nicht bieten können, schreibe ich mal nichts und schließe mich obigen Aussagen zufriedenen Gewissens an.

Grüße Teaser
 
#46
@Tec guter Bericht!

Nun ich hab vernommen, dass IBM eine Destop-Firewall verwendet: Zone Alarm (Firmen-Version).

Auf den Mitarbeiter PCs wirk kontrolliert ob die Firewall eingerichtet ist. Falls nicht, wird diejenige Person gewarnt, sie müsse die Firewall umbedingt wieder Aktivieren bzw. downloaden.Innnerhalb von 24h.
Ich muss villeicht auch noch sagen, dass sich eine Mitarbeiter der IBM sich von irgendeinem Ort einwählen kann. Also es ist kein Anschlussgebune Verbindung (haben die meisten Universitäten etc. *glaub*).

Kann mir nun jemand sagen für was die eine Desktop-Firewall haben.Wenn sie ja gar nichts nützen (oder fast nichts)????

Ach ja, fragt micht nun ja nicht von wo ich das weiss :D . Es stammt von einer zuverlässigen Quelle, der ich vertrauen kann 8) .

cya Ph0eNiX
 
#47
Nur fuer unsere Freunde die meinen das alle Probleme geloest sind:

From: "RUS-CERT (Florian Weimer)" <unattended@Lists.CERT.Uni-Stuttgart.DE>
To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Date: Today 16:03:02

[Generic] Neuer UDP-basierter Wurm verbreitet sich
(2004-03-20 11:47:09.803988+01)
Quelle: http://isc.sans.org/diary.html?date=2004-03-20

Ein neuer Wurm verbreitet sich über UDP-Pakete. Ähnlich wie beim
Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von
infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme mit
BlackICE, einem ISS-Sicherheitsprodukt. Möglicherweise ist weitere
Software von ISS anfällig.

Betroffene Systeme
* BlackICE PC Protection 3.6 ccf
* Wahrscheinlich weitere BlackICE-Versionen, möglicherweise auch
andere ISS-Sicherheitsprodukte.
* Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt
verwundbare Systeme in Mitleidenschaft gezogen werden.

Einfallstor
UDP-Paket mit Quellport 4000 und zufälligem Zielport. Sehr
wahrscheinlich sind Angriffe über eine Broadcast-Adresse ebenfalls
erfolgreich, d.h. das Paket muß nicht direkt an das Opfer gerichtet
sein.

Auswirkung
Ein befallenes System verschickt in rascher Folge UDP-Pakete mit
Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich
dem [1]Slammer-Wurm).

Gefahrenpotential
hoch
(Hinweise zur [2]Einstufung des Gefahrenpotentials.)

Beschreibung
Ein UDP-basierter Wurm verbreitet sich seit 2004-03-19 05:46 MEZ. Laut
[3]ISC SANS sind Microsoft-Windows-Systeme mit BlackICE PC Protection
3.6 ccf, einer PC-Sicherheitssoftware ("Personal Firewall"), für diese
Angriffe anfällig. Es ist im Moment unbekannt, ob tatsächlich die von
EEYE bekanntgegebene [4]Schwachstelle für den Angriff genutzt wird,
und ob weitere ISS-Produkte (wie die RealSecure- und Proventia-Reihe,
siehe [5]IIS-Advisory zu der von EEYE gefunden Schwachstelle)
betroffen sind.

Die verschickten UDP-Pakete haben als Quellport 4000, der Zielport ist
zufällig gewählt (teilweise auch unter 1024), die Zieladresse
ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes.
Alle Pakete enthalten die Zeichenkette "insert witty message here".

Wie beim [6]Slammer-Wurm kann der Verkehr zu einem Denial of
Service-Angriff auf die Netzanbindung betroffener Systeme führen.
Sowohl die Bandbreite an sich als auch die zufällige Auswahl der
Zieladressen können eine Überlastung der Netzkomponenten verursachen.

Bis 2004-03-20 11:35 MEZ konnten wir 4800 befallene Systeme im
Internet detektieren. Wir beobachten derzeit pro 10.000 IP-Adressen
etwa 7 Angriffspakete pro Sekunde, die aus dem Internet ankommen.

Wenn weitere Information verfügbar wird, werden wir diese Mitteilung
aktualisieren.

Gegenmaßnahmen
* Als Notfallmaßnahme sollte eine Sperre von Paketen mit Quellport
4000 vor der verwundbaren Infrastruktur in Betracht gezogen
werden. Diese Sperre kann jedoch unerwünschte Nebenwirkungen haben
und z.B. DNS-Verkehr oder regulären ICQ-Verkehr beeinträchtigen.
* BlackICE-Benutzer sollten temporär auf den Einsatz der Software
verzichten und z.B. auf [7]Filter mit IPsec-Policies
zurückgreifen.
* Zusätzlich sollte eine Upgrade auf [8]BlackICE 3.6cfg vorgenommen
werden. Derzeit ist allerdings unklar, ob diese Maßnahme wirksam
ist. Eine Stellungnahme des Hersteller steht noch aus.

Weitere Information zu diesem Thema
* [9]Internet Security Systems PAM ICQ Server Response Processing
Vulnerability
* [10]Internet Security Systems Security Alert, Vulnerability in ICQ
Parsing in ISS Products

Aktuelle Version dieses Artikels
[11]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright ? 2004 RUS-CERT, Universität Stuttgart,
[12]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065
2. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
3. http://isc.sans.org/diary.html?date=2004-03-20
4. http://www.eeye.com/html/Research/Advisories/AD20040318.html
5. http://xforce.iss.net/xforce/alerts/id/166
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065
7. http://CERT.Uni-Stuttgart.DE/os/ms/ipsec-paketfilter.php
8. http://www.iss.net/download/
9. http://www.eeye.com/html/Research/Advisories/AD20040318.html
10. http://xforce.iss.net/xforce/alerts/id/166
11. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189
12. http://CERT.Uni-Stuttgart.DE/

Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)
 
#48
> Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)

Wie kommst du darauf, dass das Userspace-Programme sind? Ich nehme doch stark an, dass fürs eigentliche filtern auf IP-Ebene etwas im Kernel laufen muss.


Tec, deiner Signatur kann ich nur in vollem Umfang widersprechen.
Was den Tee angeht, das ist natürlich zunächst Geschmacksfrage, nicht zuletzt aber auch eine Frage der Teesorte ;) Ach und gar nicht wird gar nicht zusammengeschrieben :D

Und jetzt zu wichtigeren Dingen: Ich gebe dir völlig Recht, es ist absolut idiotisch, eine PFW zu installieren und sich dann "sicher" zu fühlen. Es ist eigentlich fast immer idiotisch, sich "sicher" zu fühlen ;) Es gibt viele Angriffsmöglichkeiten, gegen die eine PFW absolut nichts ausrichten kann, und zwar by design. Dazu kommt natürlich, dass jede Software Fehler enthalten kann. Trotzdem gibt es eben ganz bestimmte Dinge, die eine PFW wirksam verhindern kann. Es sind Konfigurationen möglich, mit denen man die meisten Scans vereitelt und sich so schon mal nervige connect-Versuche von Scriptkiddies vom Leib hält. Auch gegen diesen RPC-Wurm hätte ein korrekt konfigurierter Paketfilter geholfen. Die einzige Möglichkeit, den Rechnernamen und andere NetBIOS-Informationen nicht übers Internet bekanntzugeben, obwohl die Dateifreigabe installiert ist, ist ein Paketfilter.

Ich denke die Liste lässt sich fortsetzen. Versteh mich nicht falsch, es ist gut und wichtig, die Leute darüber aufzuklären, dass PFWs beileibe nicht dazu geeignet sind, einen Rechner mal so eben "sicher" zu machen, die Fehleinschätzung solcher Software ist wohl in der Tat einer der größten Unsicherheitsfaktoren im Internet. Aber zwischen "eierlegende Wollmilchsau" und "taugt nix" ist ein weites Feld:)

Greets, Ziri
 
#49
Original von Chris
Symantec stellt sehr wohl gute Software her (IMHO)! Ich benutze beispielsweise Norton AntiVirus 2003 und halte es für ein gutes AV.
Was den Schutz vor Viren betrifft, hast du da auch Recht, Norten schützt sehr gut davor.
Einen guten Schutz vor Trojaner hat das Teil allerdings nicht zu bieten, mit schon fast primitiv anmutenden Methoden kann man einen Trojanerserver für den Nortenscanner stealth machen. Das trifft gegenwärtig auf fast alle AVscanner zu, auch auf KAV, sofern man über ein paar entsprechende Tools verfügt.

Norten und AntiVir sind aber mit Abstand am leichtesten auszutricksen.

Edit: Einer Firewall jegliche Schutzfunktion abzusprechen, ist reine Arroganz und Inkompetenz.
Denn merke: Software ist oft fehlerhaft und das trifft auch auf Malware zu.
 
#50
1. Es heißt "Norton".
2. Wer einen guten Virenscanner sucht kann auch F-Prot nehmen, mit Shell-UI (DOS) ist der kostenlos man bekommt ständig aktuelle Signaturen.
3. Ein "guter" Trojaner kann (sofern er mit Admin-Rechten installiert wurde) niemals auf dem befallenen System selbst von einem Scanner gefunden werden, denn er klinkt sich in entsprechende Syscalls und untertrückt z.B. schon dort die Ausgabe der eigenen Dateien. Wenn man sich nicht darauf verlassen kann, dass die Syscalls wie definiert arbeiten, ist ein Scanner nutzlos. Also bei einem solchen Verdacht immer von CD booten.

Greets, Ziri
 
#52
Frage war: Wann ist man 100% sicher
Es gibt eine Lösung: Stecker ziehen!
Zitat aus "Die Kunst der Täuschung - vom Kevin Mitnick"

Sicherheit ist nur eine illusion.
...

Der Social Engineer bringt einem dazu, den PC wieder anzumachen.
Also bringt selbst Stecker ziehen nicht ;)

Aber zum Thema zurück:

Also ich selber finde DF nicht absolut Sinnlos.

Denn dich frage ist doch:
Von wem werde ich Privat Angegriffen?

Ich denke das sind doch fast immer Script Kiddis die mit einem Nuker, Trojaner, Sniffer, gegebende Freigabe von Dateien etc. Schaden anrichten.

Eine DF mit Standardkonfiguration schützt einen vor den meisten dieser Angriffe. Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.

Zwar stimmt es das diese DF schwachstellen hat, wie jede andere Software auch, allerdings bietet sie für wenig Geld/Kostenlos doch schon einen gewissen Grundschutz gegen solche Kinder.

Auch finde ich Praktisch an diesen Firewalls, das der Anwender sieht, welche Progs. versuchen eine Verbindung aufzubauen und diese dann auch "Blocken" kann.
Dies bringt schon Schutz vor Trojaner die vorher nicht die Firewall gekillt haben, und welche Kiddies können schon Trojaner bauen, die das machen? Höchstens einen Runterladen.

Und dort kommt das Anti Viren Programm zum Einsatz, denn dies erkennt normalerweise den Trojaner.

Also ich würde jedem DAU eine DF empfehlen, allerdings dazu sagen, das diese nur eine gewisse Sicherheit bietet.
Und genau das sollten die Hersteller auch machen
 
#53
hallo zusammen,

hoch interesanter Fred- wirklich!

Ich möchte mal noch einen weiteren Aspekt zur Diskussion stellen.
Ausgehend von der Frage: Wem droht eigentlich die größte Gefahr? kann folgender Ansatz entwickelt werden.

Es dürfte unbestritten sein, dass in der Windows Welt die breiteste Angriffsfläche geboten wird.
Neben Mängeln und vielfältigen Sicherheitslücken im Betriebssystem gibt es auch für Windows die meisten Viren.

Der letzte Mac Virus beispielsweise wurde vor über sechs Jahren gesichtet (experimentell, keine Verbreitung im Internet).
Trojaner am Mac OS sind zwar theoretisch möglich aber bislang völlig unbekannt.

Ich arbeite seit 1984 u. a. an Macintosh Rechnern, hatte noch nie einen Virus oder Trojaner (keiner Schutzsoftware im Einsatz) und das schlimmste, was mir bisher passiert sind die Dödel, die regelmäßig den IIS Exploit gegen meinen Webserver fahren und mir damit die Logfiles füllen.
Sollen die doch lieber erstmal checken, mit welchem OS sie sich da verbinden. :-b

Andere Alternativen sind die Open Source Systeme aus der Unix Ecke (sicher nicht für jeden Einsatzzweck) wie OpenBSD, FreeBSD, NetBSD u. a. nicht zu vergessen Linux, obwohl sich da schon wieder viele Interessierte Tummeln.

Die Lösung "Stecker raus" kommt mir dagegen so sinnvoll vor wie Selbstmord aus Angst vor dem Tod *ggg*
 
#54
Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.
Aber vielleicht "könnten" Sie aber ein kleinen 0815Codeschnipsel kompilieren, der sich "Exploit" nennt und damit eventuell Schaden anrichten ;).
 

Tec

New member
#55
Original von Riskman
Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.
Aber vielleicht "könnten" Sie aber ein kleinen 0815Codeschnipsel kompilieren, der sich "Exploit" nennt und damit eventuell Schaden anrichten ;).
Korrekt, das sind dann immer die Jungs hier welche nachfragen warum der Sploit xyz nicht compiliert wird. :D
 
#56
Nun, das ist alles richtig, und ich denke die Schwächen von Desktop Firewalls sind hier auch erschöpfend diskutiert :) Nur ist es eben nicht so, dass sie _nichts_ nützen würden. Gefährlich ist die Überzeugung mancher DAUs, damit sicher zu sein, das lässt aber nicht den Schluss zu, solche Software tauge generell nichts.

Greets, Ziri
 
#59
Ich benutze keine Personal Firewall und würde auch jedem dringend davon abraten, eine zu verwenden.

Zu den Gründen:
Personal Firewalls wiegen den User in Sicherheit - und das zu unrecht.
Naja wenn der user sich aber nicht in "Sicherheit" wiegt, und weiß das eine PF ihn nicht zu 100% schützt (wie manchmal versprochen), dann wiegt er sich auch nicht in Sicherheit. Also bringt das Argument nicht allzuviel.

Also sollte mehr Aufklärungsarbeit von den Herstellern getrieben werden.
 
#60
Original von Elderan
Ich benutze keine Personal Firewall und würde auch jedem dringend davon abraten, eine zu verwenden.

Zu den Gründen:
Personal Firewalls wiegen den User in Sicherheit - und das zu unrecht.
Naja wenn der user sich aber nicht in "Sicherheit" wiegt, und weiß das eine PF ihn nicht zu 100% schützt (wie manchmal versprochen), dann wiegt er sich auch nicht in Sicherheit. Also bringt das Argument nicht allzuviel.

Also sollte mehr Aufklärungsarbeit von den Herstellern getrieben werden.
Sehen Sie mal: Wir haben hier eine DF; gut ist sie nicht, aber teuer :D
-
ne mal im Ernst, der bringt doch in seinen Erklärungen Etliches durcheinander.
Ein Highlight:

Ein weiteres Problem des Stealth Modus ist, dass er das Internet (genauer: den Traffic) belastet, da der anfragende Rechner denkt, weil keine Bestätigung des zuvor gesendeten Packets angekommen ist, dass das Packet verloren gegangen ist und sendet es erneut. So wird das Internet unnötig belastet.
Ja und dann legt da so ein gemeiner Hacker mit seinen 128 kBit den Provider lahm :D *ggg*
 
Oben