Securityforum

Die Aussage "Glaube und gefährliches Halbwissen durch Fehlinformationen" ist in keinster Weise beleidigend gemeint, doch unterliegen alle Menschen Marketingversprechen und Fehlinformationen, und treffen darauf basierend auch manche Fehl-Entscheidung.

Nun gut, neue Erkenntnisse erbringen auf jeden Fall eine neue Diskussionsgrundlage, die sicherlich nicht durch diesen kleinen Artikel beendet werden wird.

Marketing, Werbeversprechen und die Sicherheit
Die folgenden Informationen möchte ich speziell denen ans Herz legen, die den Sinn und Zweck einer Desktop-Firewall in Frage stellen.
Oftmals mit dem Argument, dass der eingesetzt Router ja schließlich über eine integrierte Firewall verfügt.

Dazu folgendes:
Etliche Router-Modelle von AVM, deren Innereien sich u.a. auch in Speedport-Routern von T-Com wiederfinden, verfügen leider nur noch über sehr spartanische Sicherheitsfunktionen. Weder ist dies bei den heutigen Bedrohungen aus dem Internet sehr zeitgemäß, noch werden Verbraucher die derartige Geräte erwerben, explizit darauf hingewiesen.

Marketingsprüche am Beispiel Speedport w900v (auch im Handbuch zu finden) wie:
Schutz durch integrierte Firewall
Da der Speedport W 900V als DSL-Router betrieben wird, schützt die integrierte Firewall Ihr Netzwerk vor Angriffen aus dem Internet.
Außer NAT ist da aber nüscht

Nicht vorhanden sind beispielsweise:
- (SPI-)Firewallfunktionen
- VPN
- Contentfilter
- Erweiterte DHCP-Server Funktionen
- Erweiterte WAN Funktionen, z.B. PPTP, Ethernet-Verbindung, Clonen der MAC-Adresse, RIP
- QoS-Einstellungen
- Port-Triggering bei NAT
- UPnP
- Fernwartung/Remote-Management (dies könnte/sollte aber ggf. ueber eine entsprechende Portweiterleitung möglich sein)

Weitere Mangelerscheinungen:
* Ungenaue Informationen der System-Logdatei bei vielen Router-Modellen
Beispiel: Weder negative noch positive Einträge für PPPoE-Verbindungsaufbau werden erfasst. - Ausnahme: PPPoE-Fehler
* Externe Zugriffe auf/an den USB-Anschluss angeschlossene, USB-Geräte (Festplatten, USB-Drucker) werden nicht erfasst.
* Einstellmöglichkeiten fuer VPI/VCI bei vielen Geräten Fehlanzeige.
Stehen die Werte bspw. auf 1/32 läßt sich ein solches Gerät nur bei ISPs nutzen, die ebenfalls diese Werte nutzen.
* Vielgepriesene USB Anschlüsse haben oftmals noch den USB 1.1 Standard (Geschwindigkeitsrausch also ausgeschlossen)

Infoliste - Wer ist Hersteller der Router der Deutschen Telekom ?
Speedport 200 = Wahrscheinlich http://www.tecomproduct.com
Speedport 500V = Hitachi
Speedport W 500V = Hitachi
Speedport W 501V = AVM
Speedport W 502V = Wahrscheinlich arcadyan
Speedport W 700V = arcadyan
Speedport W 701V = AVM
Speedport W 720V = Siemens
Speedport W 900V = AVM (Fritz Box DECT W900V)
Eumex 300IP = AVM (leicht abgeänderte Version der FRITZ!Box Fon)
congstar DSL-Box = W 701V = AVM

Fazit:
Wünschenswert für alle Internet-Nutzer an dieser Stelle, wäre eine Empfehlung eines Routers oder besser noch mehrerer Modelle, die die obigen Mängel nicht aufweisen. Diesbezüglich dürfen sich nun die Gegner der Desktop-Firewalls aufgefordert fühlen, uns hier mit Rat und Tat zur Seite zu stehen.
In diesem Sinne ...

Oh je, AAHJA hat ins Wespennest gestochen (Deja Vu).

Meine Ablehnung gegen Personalfirewalls (restriktive gegen Security Suites) ist mehr als offensichtlich, wer Beiträge zu diesem Thema von mir hier oder sonstwo verfolgt hat. Dabei richtet sich meine Kritik weniger gegen den Nutzen (Erweiterung eines Sicherheitskonzeptes) als gegen die Werbeversprechen der Hersteller und die daraus resultierende Fehleinschätzung, dass jeder DAU damit einen Freifahrtschein in die Schmuddelecken des WWW bekommen könnte.

Der richtige Einsatz einer PFW kann durchaus das Sicherheitskonzept aufwerten, fällt und steigt aber mit der Kompentenz des Anwenders. Das hat in erster Linie nichts mit der Unzulänglichkeit der NAT- Router zu tun, die versprochene Sicherheit nicht gewährleisten zu können, wie schon ausführlich von AAHJA dokumentiert.

Wenn ich nun, trotz fehlender Personalfirewall (und/oder Security Suite) keinerlei Probleme mit Angriffen und Malware habe, weshalb sollte ich dann trotzdem zu dieser Maßnahme greifen (unabhängig welchen NAT- Router ich nun verwende) ?

...wäre eine Empfehlung eines Routers oder besser noch mehrerer Modelle, die die obigen Mängel nicht aufweisen. Diesbezüglich dürfen sich nun die Gegner der Desktop-Firewalls aufgefordert fühlen, uns hier mit Rat und Tat zur Seite zu stehen.

Cisco 1800er Series oder 3800er Series wären doch ganz schön ?

Spass beiseite - für den Privatanwender wird es weder eine adäquate Hard- noch Softwarelösung geben, die auch allen Gefahren trotzen wird, genauso wenig, wie es das unfallfreie Automobil mit Unverletzbarkeitsgarantie geben wird...

Ich setze daher auf möglichst einfache Ansätze, die ein Durchschnittsanwender durchzuführen vermag. Dazu gehört weder die Konfiguration einer Hardware- oder Softwarefirewall noch die Beherrschung einer Security Suite. Wie in anderen Lebenssituationen auch (Führerschein, Personentransporterlaubnis, Facharbeiterbrief, Abitur...) sollte auch im Bereich Internet- Sicherheit ein Kompentenznachweis erbracht werden, um diese Lücke zu füllen. Leute, deren Kompentenz dazu nicht ausreicht, müssen wie im realen Leben auf Fachleute zurückgreifen, die diese Aufgabe entsprechend lösen. Das soll keineswegs die Bevölkerung daran hindern, das Medium Internet zu nutzen, vielmehr dazu führen, die eklatante Sicherheitssituation zu glätten.

Ein typischer und gern benutzer Vergleich ist das Auto: Welcher Nichtfachmann würde beispielsweise eine defekte Bremsanlage seines Fahrzeuges reparieren oder fachgerecht einen Rußpartikelfilter nachrüsten ? Hier gibt es strikte Vorgaben und Kontrollorgane, die darüber wachen. Beim Online- PC fehlt sowas völlig - wieso ?

Der Durchschnittsuser soll erlernen, wie man grundsätzlich sicher das Medium Internet benutzt und sein Equipment dafür Instand hält. Weitere Maßnahmen sollten Fachleuten zugestanden werden. Man sollte auch keineswegs die Internetsicherheit den Herstellern von Sicherheitssoftware übertragen (wie allerdings bereits geschehen), die marketingstrategisch ihre Produkte an die Endverbraucher mit unhaltbaren Werbeversprechen verscherbeln.

Da ich natürlich nicht für ein Fehlverhalten von Usern garantieren kann, greift auch mein Prinzip nur dort, wo es nach besten Wissen und Gewissen umgesetzt wird. Etwa zwei Dutzend Leute betreue ich privat mit ihren Internet- Computern. Diese haben allesamt seither keine Probleme (mehr) mit Viren, Würmern und Malware, da sie einfache Regeln beachten. Merkwürdigerweise benötigen all diese Leute keine zusätzlichen "Software Sicherheits Sorglospakete", obwohl sie doch angesichts der Bedrohungen aus dem Netz doch in Sekundenschnelle ein verseuchtes Computersystem vor sich sehen müßten....?

Es geht also auch ohne Softwarefirewall oder gar Security Suite und ich kann es sogar beweisen. Natürlich würden die gleichen Personen mit Personalfirewall und/oder Security Suite genauso wenig mit Malware folgerichtig zu tun haben, doch definitiv müßten sie sich zwangsläufig mit dem vermeintlichen Zuwachs an Sicherheitsbewußtsein auseinandersetzen. Anhand vieler Fragen in diversen Foren zu Problemen und Bedienungsfehlern mit diesen hoch sensiblen Softwareprodukten kann man die Investition an zusätzlichem Aufwand durchaus als gegeben ansehen.

Dass aber auch viele Forenbeiträge nachweisen, dass der reine Einsatz dieser Produkte keine 100% Sicherheit bietet, wie von den Herstellern oft suggeriert, bestätigt wiederum, dass eine Erhöhung der Sicherheit durch Zusatzsoftware auch ein Trugschluss sein kann. Oft ist gerade der Einsatz einer solchen Software der Grund, dass manche User fahrlässiger werden, weil sie sich scheinbar sicher fühlen. Der Einsatz von Sicherheitssoftware ersetzt niemals das Surfverhalten und Sicherheitsbewußtsein des Users.

Wer nun behaupten kann, dass jemand durch den Einsatz einer PFW oder Security Suite einer Infizierung durch Malware hätte vorbeugen können und es dafür schlichtweg keine Alternative geben würde, soll das bitte mal argumentativ beweisen...

Gruß,
Thomas

Oh je, AAHJA hat ins Wespennest gestochen (Deja Vu).

Meine Ablehnung gegen Personalfirewalls (restriktive gegen Security Suites) ist mehr als offensichtlich, wer Beiträge zu diesem
Thema von mir hier oder sonstwo verfolgt hat. Dabei richtet sich meine Kritik weniger gegen den Nutzen
(Erweiterung eines Sicherheitskonzeptes) als gegen die Werbeversprechen der Hersteller und die daraus resultierende Fehleinschätzung,
dass jeder DAU damit einen Freifahrtschein in die Schmuddelecken des WWW bekommen könnte.

Dem ist m.E. nichts hinzuzufügen, da eindeutig.

Wenn ich nun, trotz fehlender Personalfirewall (und/oder Security Suite) keinerlei Probleme mit Angriffen und Malware habe, weshalb
sollte ich dann trotzdem zu dieser Maßnahme greifen (unabhängig welchen NAT- Router ich nun verwende) ?

Es wäre an dieser Stelle interessant zu erfahren, welche Mittel Du einsetzt, um Angriffe zu interpretieren, zu protokollieren,
um Angriffe wie weiter unten beschrieben (Punkt XXXXX) begegnen zu können.
Mit welchen Mitteln werden die u.g. Web-Seiten, Umleitungen und "Aktiven Inhalte" von Dir gefiltert ?
Entdeckst und reagierst Du auf Port-Scans ?

Wer nun behaupten kann, dass jemand durch den Einsatz einer PFW oder Security Suite einer Infizierung durch Malware hätte vorbeugen
können und es dafür schlichtweg keine Alternative geben würde, soll das bitte mal argumentativ beweisen...

Um eine Ausgangsbasis zu schaffen, gehe ich von den Ausführungen des von mir iniziierten Beitrags aus, dem ein NAT-Router ohne
Firewall-Funktionalitäten zugrunde liegt.

Punkt XXXXX
Eine Nicht-Infizierung durch Malware findet primär durch die Blockierung aktiver Inhalte statt, wenn die Desktop-Firewall
entsprechend konfiguriert ist (Standard-Regelwerk, Hersteller und Produktabhängig). Schon bewiesen
Aktive Inhalte können dabei beispielsweise sein:
* ActivX-Elemente
* ActivX-Scripting
* Animierte GIFs
* Cookies
* Flash (Multimedia-Inhalte allgemein - swf,pps,mp3,wmv etc.)
* Java
* PopUp-Fenster (inkl. aktiver Inhalte)
* Versteckte Frames (inkl. aktiver Inhalte auch in Verbindung von Umleitungen auf gefakete Sites)
* JavaScripte
* VBScripte

Eine Blockierung erfolgt standardmäßig bis zur Freigabe dieser Inhalte (auch einzelnd) in Verbindung mit Domain-Name/IP-Adresse.
Bis zu diesem Zeitpunkt und Status bietet eine Desktop-Firewall einen Schutz, da weder aktive Elemente der aktuellen Web-Seite
noch externe aktive Elemente anderer, angeschlossener Seiten ausgeführt werden können. Dies ist auch ein nicht zu übersehender
Schutz bei Domain-Umleitungen, da auch in diesen Fällen wieder Freigaben für die Aktiven-Inhalte erfolgen müssen.

An dieser Stelle ist der Einspruch zur Komplexität, der Nachvollziehbarkeit und der Konfigurationsproblematik aufgrund des Wissen der Anwender zur Desktop-Firewall gegeben. Aber genau an dieser Stelle, sollte dem Anwender aufgrund von Warnungen der Desktop-Firewall oder einem Blick in das Log (der blockierten Web-Seiten und Inhalte)
a) das persönliche Handeln bewußt werden (Konsequenzen inbegriffen)
b) haben Warnungen einer Desktop-Firewall einen eindeutigen Charakter

Nach einer Freigabe der aktiven Inhalte für die aktuelle Web-Seite, der externen aktiven Elemente und der externen Web-Seiten
bietet auch die Desktop-Firewall keinen Schutz mehr. Es sei denn, die Firewall würde zusätzlich über einen integrierten Mal-oder-
Spyware-Scanner verfügen, der letztlich aber auch keinen 100% prozentigen Schutz bieten könnte, da Mal,-Spyware-und Anti-Viren-
Scanner größtenteils noch Signatur basiert arbeiten. Zudem würde ich dann auch nicht mehr von einer Desktop-Firewall sprechen wollen.

An dieser Stelle sind vielleicht noch die Ausnahmen zum Schutz des Systems
a) der Firewall (Sandbox-Modus, proaktiver Schutz, angehängte Prozesse / Prozess-Speicher-Injektionen)
b) Spoofing von ARP, IP-und MAC-Adressen
c) Feststellung veränderter Dateien (MD5-Checksummen, andere Kriterien)
nach Absturz und Reboot zu nennen, die zur Sicherheit des Systems vor Malware beitragen können.

Denn hier helfen auch nicht immer die "Eingeschränkten-Benutzerrechte".
Aber in einem solchen Fall spielt auch das PhoneHome eine nicht unwesentliche Rolle, da System-Unregelmäßigkeiten und veränderte Dateien (die mit Regelabfrage gemeldet werden), und plötzlich eine Verbindung ins Netz aufbauen wollen, erkannt werden können.

Auch wenn das System jetzt letztlich infiltriert ist.
Die Regelabfragen zu veränderten Dateien oder deren Komponenten, die zumeist so lauten:
( Erlauben, Blockieren, Einmal Zulassen, Blockieren bis System-Neustart )
erlauben hier eine manuelle wie auch eine Wiederherstellung der Datei(en) durch das System. (Bsp.: Driver-Cache)

Der Schutz vor: Denial of Service Attacken, Fragmentiertes ICMP und IGMP, Überlappende Fragmente, Winnuke und
anderer Angriffe (die Angreifer blockieren) wie weitere Funktionen einer Desktop-Firewall sollten ebenfalls nicht ignoriert werden.


Fazit:
Trotz der noch offenen Fragen an Thomas, vorab ein kleines Resümee.
Grundsätzlich muss der Anwender sich darüber im klaren sein, was er mit dem Einsatz einer Desktop-Firewall erreichen will.
Eine Desktop-Firewall kann einen zusätzlichen Schutz darstellen:
a) Wenn deutlich ist, was die Firewall mit ihren Funktionen abdecken soll und kann (Datenfilterung und Trennung internes/externes Netzwerk, Web-Surfen, E-Mail, Spiele-Modi)
b) Funktionen (abhängig vom Produkt) die anderweitig nicht abgedeckt werden können
c) Anwender-Kenntnisse und richtige Bedienung vorausgesetzt

Hallo AAHJA,

zunächst hoffe ich mal, dass diese Diskussion kein Dialog zwischen uns bleibt. Dass wir uns in grundsätzlichen Dingen einig sind, wussten wir schon vorher. Lediglich wer, wann, wofür eine PFW einsetzt oder nicht und mit welchem Erfolg, scheint unsere Meinungen diesbezüglich etwas auseinander gehen zu lassen.
Ausser Frage für mich steht die Tatsache, dass wir beide damit umzugehen wüssten, ob das auch so bei allen Verwendern diverser Personalfirewall- Produkte gleichermaßen der Fall sein sollte, zweifele ich berechtigterweise an. Denn weshalb würden sich sonst so viele Anfragen in Foren mit Problemen im Umgang mit PFW's beschäftigen ?

Im Einzelnen:

...welche Mittel Du einsetzt, um Angriffe zu interpretieren, zu protokollieren,
um Angriffe wie weiter unten beschrieben (Punkt XXXXX) begegnen zu können.
Mit welchen Mitteln werden die u.g. Web-Seiten, Umleitungen und "Aktiven Inhalte" von Dir gefiltert ?
Entdeckst und reagierst Du auf Port-Scans ?

Dazu müßte man den Begriff "Angriffe" zunächst mal definieren. Malware als solches ist ohne Interaktion gar nicht in der Lage, Angriffe durchzuführen. Dafür wurde eine Firewall auch ursprünglich nicht ausgelegt. Es ging (und geht) darum, unauthorisierte Zugriffe von außen auf ein Computersystem (Netzwerk) zu verhindern. Da im Netzwerkverkehr ständig funktionsbedingt Traffic zwischen den Clients und Servern stattfindet, gilt es zu unterscheiden (filtern), welche Datenströme nun zwangsläufig notwendig sind, welche nützlich, aber nicht unbedingt erforderlich sind und welche individuell nicht notwendig sind. Eine Firewall soll diese Aufgabe übernehmen und kann das weitgehend auch recht gut und entlastet dabei in gewisser Weise die User. Der Paketfilter in einem DSL- Router versucht diese Aufgabe zu übernehmen, kann dies aber in den meisten Fällen nur in eingehende Richtung. Geht man davon aus, dass die User im privaten Netzwerk (also hinter dem NAT- Router) grundsätzlich keine "dummen Sachen" machen, funktioniert die Geschichte soweit ganz gut. Netzwerkwürmer der Kategorie "Sasser" oder "Blaster", die sich über Schwachstellen im Betriebssystem verbreiten konnten, wurden dadurch effektiv gestoppt. Die Problematik war eine völlig andere:
Laptops mit ungepatchten Betriebssystemen, die auch außerhalb des gesicherten Netzwerkes "online" benutzt wurden, trugen quasi die Infektion an der Hardware- Firewall des NAT- Routers vorbei. Möglicherweise war das die Grundsteinlegung für den Siegeszug von Personalfirewalls und Security Suites ? Dass aber die eigentliche Ursache des Problemes weitestgehend ungepatchte Sicherheitslöcher in Betriebssystem oder Applikationen war (und ist) wird dabei gerne verschwiegen. Trotzdem hat eine PFW in solchen Fällen eine Daseinsberechtigung, da gerade Microsoft nicht zeitnah genug, entsprechende Patches zur Verfügung stellen kann. Für solche Situationen habe ich schon immer PFW's befürwortet, wobei aber auch hier der Wehrmutstropfen nicht zu schnell abgewischt werden sollte. Gerade im unprofessionellen Umfeld hat sich durch den Einsatz solcher Wunder- Schutzsoftware die Nachlässigkeit, die Comutersysteme nicht auf aktuellem Patchlevel zu halten, explosionsartig ausgedehnt. Viele Anwender, die heutzutage Security Suites einsetzen (Personalfirewalls im klassischen Sinn werden durch diese Produkte mit erweitertem Funktionsumfang zunehmend verdrängt) wissen überhaupt nicht, was ein "Patch" oder "Update" ist. Hier setzt wiederum meine Kritik an, dass durch den Einsatz diverser Schutzsoftware, die Anwender der Bequemlichkeit erliegen, alle sicherheitsrelevanten Computerdinge in die Obhut einer Software zu geben. Dieser Aspekt macht mich skeptisch...

Ein funktionierendes Sicherheitskonzept sollte immer zuerst am schwächsten Glied (demjenigen, der an der Tastatur sitzt) ansetzen. Was dann technisch dazu addiert wird, kann manigfaltig sein. Sobald aber der User aus diesem Sicherheitskonzept herausgedrängt wird bzw. zur Randfigur wird, ist jedes so aufgebaute Sicherheitskonzept zum Scheitern verdammt. Ob nun eine PFW oder eine Security Suite das Sicherheitskonzept unterstützen soll, ist sekundär. Primär ist entscheidend, dass alle Komponenten funktionieren. Wenn nun User denken, weil sie eben stolzer Besitzer einer Security Suite sind, die CrackZ- und Warez Seiten könnte man deswegen nun unbedenklich ansurfen, jeglichen Download durchführen und permant jeden "Yes" Button drücken, ist das eine fatale Fehleinschätzung. Die einschlägigen Foren beweisen allerdings diese Denkweise vielfach, wenngleich es nicht gerne offen angesprochen wird. Es ist dann immer die Rede von "Trojaner eingefangen" oder "plötzlich erscheinen frivole PopUp's auf dem Bildschirm"
Das Sicherheitskonzept wurde unterlaufen, ob nun eine Sicherheitssoftware installiert war oder nicht, war und ist dann unerheblich....

Jetzt kommt der nächste Schritt:
Ein Paketfilter auf dem NAT- Router verhindert in der Regel keine ausgehenden Verdindungen. Deshalb verwendet man ja gerne solche Sicherheitstools (respektive der sog. Firewallanteil). Es soll verhindert werden, dass unauthorisierter Datenverkehr von innen nach außen stattfinden soll. Man muss diesen "unauthorisierten Datenverkehr" allerdings auch wieder definieren:
Handelt es sich um eine DNS- Anfrage, ein automatisch iniziiertes Softwareupdate, eine PhoneHome- Aktion, ein Broadcast oder gar um Malware- Aktionen ? Eine PFW versucht grundsätzlich alles zu unterbinden, was ja auch richtig ist, jedoch obliegt es weiterhin der Kompentenz des Users, zu unterscheiden, was nun "darf" und was "nicht darf". Der durchschnittliche User ist schlichtweg mit der Beantwortung dieser Fragen überfordert. Es mag wohl sein, dass in vielen Fällen die Entscheidung richtig getroffen wird, doch bleiben leider immer Fehlinterpretationen. Ich kenne auch Fälle (teilweise dokumentiert), wo User, wenn ihre Online- Aktivitäten nicht das gewünschte Ergebnis liefern, weil eben die Firewall "dicht" gemacht hat, eben diese aufgrund ihrer Administratorenmacht temporär deaktivieren. Das Sicherheitskonzept ist stark beschädigt und zu Fall gebracht worden, daran ändert auch nicht, wenn im Nachhinein die Firewall wieder eingeschaltet wird und diverse Tools like Adaware, Spybot Search & Destroy usw. über die Festplatte gejagt werden.

Meine persönliche Ansicht ist eben, dass gesundes Surfverhalten und vernünftiger Umgang mit dem Online- Computer Vorrang haben sollte. Zunächst sollte man alle Möglichkeiten ausschöpfen, die das Betriebssystem bietet. Wenn dann die Notwendigkeit gegeben sein sollte, weitere softwaretechnische Maßnahmen zu ergreifen, dann bitte, aber mit der notwendigen Verantwortung, dies auch richtig ins (hoffentlich) vorhandene Sicherheitskonzept einzubinden. Genau so verfahre ich und habe damit nachweislich keine Probleme, um auf die Frage im Zitat zurück zu kommen.

Wichtige Daten, werden auf externen Datenträgern gespeichert (Backup). Im Falle, dass einer meiner Rechner neu installiert werden müßte (evt. Image), weil sich tatsächlich über ein Exploit was eingeschlichen haben sollte, bereitet mir das keine Kopfschmerzen. Bisher mußte ich solche Maßnahmen immer nur nach Hardwaredefekten ergreifen. Also kann mein Konzept nicht so falsch sein. Gelegentlich lasse ich einen Freeware- Viren- & Antimalwarescanner profilaktisch drüberschauen, aber mehr als einige Cookies und "False Positives" wurden bislang nie gemeldet.

Jetzt zu den kritischen Dingen:

Punkt XXXXX
Eine Nicht-Infizierung durch Malware findet primär durch die Blockierung aktiver Inhalte statt, wenn die Desktop-Firewall
entsprechend konfiguriert ist (Standard-Regelwerk, Hersteller und Produktabhängig). Schon bewiesen

Sofern keine PFW vorhanden sein sollte und ich dies entsprechend selbst erledigen kann, sollte das auch in Ordnung gehen...

* ActivX-Elemente
* ActivX-Scripting

Da gibt es Dinge, die ich brauche, die ich möchte, die ich nicht brauche und die ich nicht möchte. Entsprechend aktiviere ich diese oder lasse es bleiben. Was ändert es, wenn ich diese Entscheidung in der Eingabemaske der PFW treffe ? Es bleibt von der jeweiligen Anwendung abhängig. Betrachten wir die Sache mal ganz naiv: Wenn ein User mit PFW ein ActiveX Control im IE7 aktiviert, weil er es eben möchte, wird er es auch in der PFW zulassen (weil er es eben möchte)...

* Animierte GIFs
* Cookies

Hatte ich noch nie Probleme damit. Erläutere doch bitte mal, wie hier ein Gefahrenszenario entstehen könnte (es ist mir klar, dass auf unseriösen Webpräsenzen hiermit natürlich auch Manipulationen versucht werden) !

* Flash (Multimedia-Inhalte allgemein - swf,pps,mp3,wmv etc.)
* Java

Ich kenne noch die Zeiten des Fido- Netzes, die sind längst vorbei und wer sich nicht von etwa einem Drittel der heutigen Internetpräsenzen explizit ausschließen möchte, muss hier eben mitziehen. Wer dann unbedingt die Schmuddelecken des Internets trotzdem besuchen möchte, muss dann sicherheitstechnisch diese Dinge temporär deaktivieren oder einer Security Suite vertrauen. Leider klappt das auch nicht immer. Da ich ja kein so wirklicher Theoretiker bin, habe ich das praktisch nachgestellt: http://www.oberthal-online.de/malware.html
Soviel zur Schutzwirkung einer Security Suite !

* PopUp-Fenster (inkl. aktiver Inhalte)
* Versteckte Frames (inkl. aktiver Inhalte auch in Verbindung von Umleitungen auf gefakete Sites)
* JavaScripte
* VBScripte

Diese Dinge konnte ich ohne große Probleme gut sondieren. Selbst wenn ich nicht direkt die Gefahr anhand des Links erkennen konnte, war es nie wirklich eine ernstzunehmende Gefahr (Ich spreche rein für mich persönlich und meinem direkten familiären Umfeld). Mit etwas Paranoia könnte man nun glauben, dass ich völlig wahnsinnig wäre, so "schutzlos" das Netz der Netze zu benutzen, doch solange ich nicht die Probleme vorzuweisen brauche, die viele andere mit und ohne Sicherheitssoftware in diversen Foren nachhaltig dokumentieren, scheint offensichtlich mein Sicherheitskonzept ohne PFW/Security Suite deutlich besser zu wirken als das von vielen mit diesen zusätzlichen Sicherheitsmaßnahmen. Das sind Fakten, die nicht weg zu diskutieren sind und wenn ich damit irgendwann nicht mehr "sicher" genug sein sollte, kann ich ja immer noch umstellen...

Denn hier helfen auch nicht immer die "Eingeschränkten-Benutzerrechte".

Das ist mir immer noch nicht wirklich klar. Schon an anderer Stelle wollte ich, dass man mir ein (Beispiel) Szenario liefert, dass Malware den "eingeschränkten Useraccount" überwindet. Ich würde das gerne mal praktisch testen...

Eines ist aber unstrittig: Verläßt ein User sich auf eine Security Suite/PFW, die systembedingt mit min. Adminrechten arbeiten muss, gibt er den Schutz durch eingeschränkte Rechte teilweise auf, da viele Cracker und Malwareautoren sich demzufolge auf die PFW/Security Suite konzentrieren. Aufgrund dokumentierter Vorfälle versuchen die Hersteller einen Selbstschutz für die eigenen Prozesse zu positionieren. Inwieweit das erfolgreich ist, kann nicht zweifelsfrei bestätigt werden. Man verzichtet auf ein simples effektives Feature (eingeschränkter Useraccount), um über komplizierte Techniken diesen aufgegebenen Selbstschutz wieder zu erreichen. Das finde ich schon etwas absurd...

Ich gebe zu, dass die aktive Kontrolle von Traffic (z.B. PhoneHome) ohne PFW deutlich komplizierter ist. Ob das aber allein die Installation solcher Software rechtfertigt, bestreite ich für mich persönlich.

Denial of Service Attacken

Das würde ich für Privat- PC's eigentlich ausschließen. Das wäre, als würde man eine Reiserücktrittsversicherung für den Linienbus abschließen...

Dem Fazit von AAHJA stimme ich voll und ganz zu. Auch erkenne ich anhand seiner Ausführungen für gewisse Bereiche unter bestimmten Bedingungen eine Einsatzberechtigung für eine Personal Firewall. Eine Security Suite schließe ich allerdings aus einem vernünftigen Sicherheitskonzept aus. Die zusätzlichen Probleme und der immense Zeitaufwand, die solche Softwareprodukte bescheren, stehen in keinem Verhältnis zu deren Nutzen. Dabei sind in diese Beurteilung, die tatsächliche Effektivität, der teilweise erhebliche Performanceverlust, die zusätzlich erwirkte Angriffsfläche und die bereits öfters nachgewissenen Spyware- Aktionen dieser Produkte selbst, noch gar nicht eingeflossen.

Gruß,
Thomas

Hallo Thomas,
und vielen Dank für Deine umfangreichen Antworten. In vielen Bereichen fahren wir sicherlich ein ähnliches Sicherheitskonzept, wobei ich grundsätzlich eingeschränkte Benutzerrechte und den Einsatz einer Desktop-Firewall kombiniere, und eingeschränkte Benutzerrechte aufgrund eines Einsatzes einer DFW nicht ausklammere.

Einen Punkt möchte ich herausgreifen, der sehr offensichtlich ist.

Da gibt es Dinge, die ich brauche, die ich möchte, die ich nicht brauche und die ich nicht möchte. Entsprechend aktiviere ich diese oder lasse es bleiben. Was ändert es, wenn ich diese Entscheidung in der Eingabemaske der PFW treffe ?
Es bleibt von der jeweiligen Anwendung abhängig.

Betrachten wir die Sache mal ganz naiv: Wenn ein User mit PFW ein ActiveX Control im IE7 aktiviert, weil er es eben möchte,
wird er es auch in der PFW zulassen (weil er es eben möchte)...

So ist es bedauerlicher Weise in den meisten Fällen, aber (um mal bei ActivX zu bleiben):
Mit einer Desktop-Firewall kann ich ActiveX explizit für eine bestimmte IP-Adresse (übersichtlich und komfortabel) erlauben, oder einschränken. Dabei werden gleichzeitig eventuell vorhandene Schwachstellen im/des Browser vorgebeugt.

Das bietet Sicherheit im Doppelpack.

Nichts desto Trotz, fällt oder steht die Qualität solcher Maßnahmen mit der Qualität des eingesetzten Produktes und den Anwender-Kenntnissen. Wir werden es dabei belassen müssen, dass eben verschieden Sicherheitskonzepte existieren, die z.T. individuell auf den Anwender abgestimmt werden müssen.
In diesem Sinne...


Kleine Ergänzung "unter Vorbehalt"

Denn hier helfen auch nicht immer die "Eingeschränkten-Benutzerrechte".

Das ist mir immer noch nicht wirklich klar. Schon an anderer Stelle wollte ich, dass man mir ein (Beispiel) Szenario liefert,
dass Malware den "eingeschränkten Useraccount" überwindet. Ich würde das gerne mal praktisch testen...

Zum testen : Metasploit Framework

Szenarien in denen so etwas geschehen könnte: Wenn Daten aus dem Speicher in Dateien geschrieben oder ausgelagert werden.
Beipiele: HibernationFile, PageFile, Sicherungs-und-Temporäre Dateien
-jedoch bei Abstürzen von Anwendungen und des Betriebssystems, wie es schon vorgekommen ist, und Dateien komplett ersetzt wurden.
Ob dies nur unter Zuhilfenahme existierender Schwachstellen im Betriebssystem funktioniert, vermag ich jedoch nicht plausibel zu erläutern oder zu beweisen.

Vielleicht sollten wir ja mal eine Weile in Hackerkreisen verkehren, um uns fehlende Informationen und Belegmöglichkeiten vor Ort und realistisch nachvollziehbar aufzeigen zu lassen.