|
|
|
|
Über Personal Firewalls
|
|
Das Thema Personal Firewall (auch Desktop-Firewall) versetzt mich einerseits in
Wutzustände, andererseits krieg
ich auch Lachkrämpfe, wenn ich mir die Probleme der Nutzer von Schrottware wie Norton PF, ZoneAlarm,
Kerio PF und wie sie noch alle heissen, lese.
Denn zum einen ist es schon traurig, wieviele DAUs auf die Sicherheitsversprechen der Hersteller
solcher unnützen Software herein fallen, zum anderen bringt es einen aber auch zum Kochen, dass
manche DAUs hartnäckig an ihrer Scheinsicherheit festhalten, obwohl die Stabilität des (ohnehin
meisst schon sehr destabilen) Windows-Systems stark unter den meissten PF leidet.
Um diesem Missstand etwas entgegen zu wirken und Aufklärung zu leisten, schreibe ich deswegen
hier eine kurze Erklärung, was unter einer Firewall zu verstehen ist und warum Personal Firewalls
völlig sinnfrei sind.
|
|
Begriffsdefinitionen
|
|
Firewall:
Unter einer Firewall versteht man ein Sicherheitskonzept für einen Rechner /
ein Rechnernetz.
Im Allgemeinen versteht man unter einer Firewall eine Hardware, die ein Rechnernetz
von einem anderen trennt.
Zu einer Firewall gehören Packetfilter, Regeln zum Routing, aktuell halten der
Software, keine unnöigen Dienste anbieten sowie die Eigenverantwortung der Nutzer.
Personal Firewall:
Eine Personal Firewall ist eine Art Packetfilter, der über Regeln (nach Applikation,
Port und Protokoll unterteilt) bestimmt, welche Applikationen eine Datenverbindung
aufbauen (bzw. Daten senden) dürfen und über welche Ports auf den Rechner zugegriffen werden darf.
|
|
Warum PF gefährlich sind
|
Das Hauptproblem bei PF ist, dass sie eine Sicherheit suggerieren, die sie in
Wirklichkeit nicht bieten können. Viele DAUs fallen dann darauf rein und sind
dann nicht mal in der Lage, die PF so zu konfigurieren, dass sie möglichst wenig
Schaden anrichtet.
Das zweite grosse Problem ist die PF selbst, da sie sich zwischen Applikationsebene und
Hardware im Schichtenmodell des Betriebssystems setzt und so tief in das System
eingreift. Somit sind Instabilitäten vorprogrammiert.
Ausserdem wird der Nutzen einer PF bei der Verwendung fehlerhafter Software wie zum
Beispiel dem Internetexplorer (hier Stichwort Browsererweiterungen) völlig abgeschaltet,
da Schadsoftware dann dessen Berechtigung ausnutzt und sich in die kaputte Software
einbindet.
Dies sind nur einige Gefahren, die PF mit sich bringen.
|
|
Wie man einen Rechner richtig absichert
|
|
Dienste:
Unter Diensten versteht man alle Applikationen, die anderen Rechnern einen Zugriff
auf den eigenen Rechner gewähren.
Deswegen sollte man alle Dienste deaktivieren, die gar nicht benötigt werden.
Unter Windows sind das leider ziemlich viele, wie z.B. der Windows Remote Zugriff.
Unter XP kann man das über Systemsteuerung->Verwaltung->Dienste machen.
Updates:
Das A und O der Rechnersicherheit. Um die Erfolgschancen eines Angriffs zu vermindern,
sollte man seine Software immer so aktuell wie möglich halten. Dies gilt insbesondere
für die Serversoftware von Diensten, falls man welche anbietet!
Aber auch jede andere Applikation, die über das Netz kommuniziert, also Browser und
Email-Client z.B., sollten immer höchste Priorität bei Softwareupdates haben.
Vermeidung kaputter Software:
Es gibt Software, bei der Updates selten und nur in ungenügender Ausstattung
zur Verfügung stehen. Die populärsten Beispiele sind hier wohl der
Internetexplorer sowie Outlook, welche regelmässig durch Sicherheitslücken
auffallen. Solche Software sollte vermieden werden und anstatt dessen auf Alternativen
umgestiegen werden.
Brain 1.0:
Das Tool überhaupt, um seinen Rechner zu schützen! ;)
Brain 1.0 ist ein gern benutzter Begriff der Fachleute, der lediglich ausdrückt,
dass die Nutzer ihr Gehirn einschalten sollen und Eigenverantwortung ausüben
sollen. Selbst das beste Sicherheitskonzept nützt nichts, wenn vor dem Rechner
ein Nutzer ohne Brain 1.0 sitzt.
Dazu auch: http://www.udel.de/brain/
|
|
Der Unsinn mit dem Stealth-Modus
|
Viele PF bieten einen so genannten Stealth-Modus (stealth = unsichtbar) an. DAUs denken
dann natürlich sofort, ihr Rechner kann im Internet nicht gefunden werden. Das genaue
Gegenteil ist allerdings der Fall.
Beim Stealth-Modus werden ankommende Packete gedropped (fallen gelassen), also ohne
Bestätigung, dass das Packet empfangen wurde, verworfen.
Im Normalfall, also wenn es unter der Adresse tatsächlich keinen Rechner
geben würde, würde das Packet vom vorangegangen Router jedoch damit quittiert
werden, dass der Zielrechner nicht existiert.
Keine Antwort heisst also, da ist etwas, was das Packet verwirft. Also muss sich
hinter der Adresse ein Rechner befinden.
|
|
Informationen
|
Für Fragen zu Firewalls (nicht Personal Firewalls!) kann man sich an die
Newsgroup de.comp.security.firewall
wenden.
Desweiteren sind noch Links zum Thema unter
Sonstige Links finden.
|
|
|
