Zeige Ergebnis 1 bis 20 von 20
  1. #1
    Benutzerbild von pawlak
    Registriert seit
    Feb 2002
    Beiträge
    11.719
    Likes
    58
    Hossa
    Also ich hab da mal nen kleinen Text über Sicherheit von Personal Firewalls gemacht. Es soll absoluten Computeranfängern klarmachen, warum Personal Firewalls nicht so wirklich sicher sind. Das Fazit fehlt noch, aber das wird auch so :> Ach ja, gesiezt werden ihr auch noch, wenn das mal nix is.

    Jetzt wärs gut, wenn sich jemand mit Ahnung mal den Text durchliest, und sagt
    1. wie er ihn findet
    2. ob was wirklich wichtiges fehlt
    3. was ich verbessern könnte
    Wer hilft wird natürlich auf der Seite dann erwähnt, wenn er das möchte!

    Vielen Dank schonmal (hoffe das Netzwerkforum ist ok dafür)

    [red]Warum eine Personal Firewall nicht sicher ist

    Einleitung[/red]

    Auf diversen Internetseiten werden so genannte "Personal Firewalls" angepriesen, welche die Sicherheit Ihres Computers erhöhen soll. Gerade bei einem so wichtigen Thema wie einer Personal Firewall ist es uns wichtig, dass Sie verstehen, wie eine richtige Firewall funktioniert, und wo genau die Schwächen einer Personal Firewall sind.
    Wir möchten dabei keine Personal Firewall schlecht machen, raten aber dringend vom Kauf einer solchen Firewall ab. Verwenden Sie, wenn überhaupt, eine Freeware-Firewall, wie etwa die Outpost-Firewall. Wenn Sie DSL einsetzen, können Sie einen so genannten "Router" kaufen, doch dazu später mehr.

    [red]Was ist eine Firewall[/red]

    Firewall heißt übersetzt „Feuerwand“ und ist ein Konzept zur Trennung von Netzbereichen, Umsetzung und Pflege. Diese Firewall ist meistens eine Hardware Einheit mit genau angepassten Treibern und perfekt abgestimmt für den jeweiligen Einsatzbereich.
    Der Einsatz einer Firewall auf dem System, das Sie schützen soll, ist grundsätzlich schwachsinnig. Vergleichen wir eine Firewall mit einer mittelalterlichen Burg: Eine gut geschützte Burg hat Bogenschützen, die Angreifer von weitem bekämpfen können. Ein Burggraben schützt die Burg weiterhin, mit Wasser gefüllt ist der Schutz noch besser. Zudem wird ein starkes Tor verwendet, welches die Angreifer abhalten soll. Erst nachdem dieses Tor überwunden wurde, ist der Angreifer an seinem eigentlichen Ziel angekommen.
    Bei einer Personal Firewall, die auf dem eigentlich zu schützenden System ausgeführt wird, ist der Angreifer schon mitten in der Burg, bevor Sie davon Notiz bekommen. Entscheiden Sie selbst, welcher Schutz wirkungsvoller ist.
    Der Nachteil einer wirklichen Firewall ist einerseits der Kostenfaktor, zum anderen ist die Konfiguration einer solchen Firewall nicht einfach, also sicherlich nichts für den normalen Hausgebrauch.
    Nun wissen Sie schon, wieso eine Personal Firewall niemals einen wirklich wirkungsvollen Schutz bieten kann, egal wie gut Sie programmiert wurde, da das Grundprinzip keinen wirklichen Schutz gewährleisten kann.

    [red]Wie kann ich mich schützen?[/red]

    Zunächst muss gefragt werden: Wovor schützen? Sie haben Angst vor Hackerangriffen, und möchten diese abwenden. Nun, diese Gefahr ist sehr niedrig, ein Privat-PC wird im Normalfall nie einem Hacker-/Crackerangriff ausgeliefert sein. Dennoch ist ein Schutz nie falsch. Doch wie schützen Sie sich wirklich effektiv davon, dass auf Ihren Computer zugegriffen wird?
    Es reicht im Allgemeinen aus, wenn Sie nicht benötigte Dienste von Windows ausschalten. Ein Zugriff auf Ihren PC ist möglich, wenn ein Dienst oder ein Programm auf Ihrem Computer gestartet ist. Ist dieser Dienst beendet, ist der Port nicht vorhanden. Ein Beispiel: Ein Einbrecher kann in jedes Haus einbrechen, egal, wie groß der Schutz ist. Wenn Sie einen Dienst beenden, und damit ein Port nicht vorhanden ist, dann ist es praktisch so, als wäre das Haus gar nicht vorhanden. Und in ein nicht vorhandenes Haus kann auch logischerweise nicht eingebrochen werden, oder? Wie Sie nicht gebrauchte Dienste ausschalten können, können Sie hier (link usw) nachlesen.
    Sollten Sie nicht alle Dienste beenden können, weil Sie gewisse Dienste benötigen, könnte der Einsatz eines Routers für Sie interessant sein. Einen Router bekommen Sie ab etwa 50€, die Funktionsweise wird Ihnen hier (link mit erklärung) erklärt. Der Vorteil eines Routers besteht darin, dass alle Anfragen aus dem Internet zunächst beim Router landen, und nicht direkt bei Ihrem PC. Der Schutz ist damit wesentlich höher, als eine Personal Firewall jemals gewährleisten könnte.

    [red]Weitere Probleme einer Personal Firewall[/red]

    Keine Software ist perfekt. Gerade bei einer Komplexen Software wie einer Personal Firewall sind Fehler nicht auszuschließen. Es wurden so etwa Fehler in den Personal Firewalls aus dem Hause Norton bekannt, wodurch etwa der Computer zum Absturz gebracht werden konnte. Ohne Personal Firewall wäre dies nicht möglich. Auch weitere Fehler sind in allen Produkten nicht ausgeschlossen, das Gegenteil kann nicht bewiesen werden, da nicht bewiesen werden kann, dass kein Fehler besteht, wo kein Fehler zu suchen ist. Ich versuche es so zu erklären: Sie alle sind schonmal Auto gefahren, oder in einem Zug. Früher dachte die Menschheit, dass der Mensch solche hohen Geschwindigkeiten nie aushalten kann. Wir wissen heute zwar, dass wir die "hohen" Geschwindigkeiten beim Auto fahren überleben, aber wir können immer noch nicht nachweisen, dass es nicht schädlich ist (wohlgemerkt nur die Geschwindigkeiten, nicht die Umweltbelastung oder Ähnliches).
    Außerdem kann jede Software nur so gut sein, wie sein Anwender. Bei Personal Firewalls werden Sie mit Meldungen meistens überschüttet, und zugleich verwirrt. Um diese Meldungen zu verstehen, und die Funktionsweise zu verstehen, bräuchten Sie gute Kenntnisse im Bereich von Netzwerken und Betriebssystemen. Wenn Sie diese Kenntnisse allerdings haben, werden Sie verstehen, dass eine Personal Firewall vom Prinzip her nicht funktionieren kann, und werden keine solche Software einsetzen.
    Ein großer Schwachpunkt einer Personal Firewall liegt auch beim Benutzer selbst. Dieser bekommt eine Scheinsicherheit durch die Personal Firewall und agiert noch fahrlässiger.

    [red]Aber eine Personal Firewall kann Programmen den Zugriff von Programmen ins Internet untersagen...[/red]

    Das ist nicht ganz korrekt. Natürlich bekommen Sie angezeigt, wenn ein Programm versucht, ins Internet zuzugreifen, allerdings kann dies leicht umgangen werden. Sollte ein Programm, das wirklich mit dem Internet kommunizieren will, intelligent genug programmiert worden sein, so wird dieses es auch schaffen. Nehmen wir folgendes Beispiel: Sie haben ein Programm, welches Zugriff auf das Internet haben möchte, ausgeführt. Nun wartet das Programm, bis Sie den Internet Explorer starten, und in diesem Moment wird das Programm versuchen, auf das Internet zuzugreifen. Es identifiziert sich anschließend als "Internet Explorer", und die Firewall wird Sie fragen, ob Sie "Internet Explorer" den Zugriff auf das Internet gestatten möchten. Da Sie surfen möchten, klicken Sie natürlich auf "Ja" und schon hat das Programm vollen Zugriff auf das Internet.
    Andere Möglichkeiten wären es, die Firewall einfach auszuschalten, da die meisten Windows Nutzer mit vollen Rechten arbeiten.
    In dem meisten Fällen bekommen Sie allerdings angezeigt, ob ein Programm Kontakt zum Internet aufbauen möchte. Doch, wenn Sie kein Programm starten, von dem Sie denken, dass es gefährlich für Sie sein könnte, ist es ja auch egal, ob Sie dem Programm den Zugriff auf das Internet gewähren oder nicht.

    [red]Ich habe eine Personal Firewall im Einsatz und werde dauernd angegriffen.[/red]

    Dies ist ein cleveres Verfahren der Hersteller, um Sie davon zu überzeugen, dass die Personal Firewall etwas macht. Bei diesem "Angriff" handelt es sich in den meisten Fällen um so genannte "Port-Scans". Dabei wird nur geschaut, ob ein Dienst auf einem Port läuft. Vergleichbar ist dies mit einem Bummel durch eine Einkaufsstraße. Sie sehen ein Geschäft, und schauen nach, ob dieses Geschäft geöffnet ist. Wenn es nicht geöffnet ist, gehen Sie weiter. Wenn es allerdings geöffnet ist, betreten Sie das Geschäft und sehen nach, ob für Sie etwas interessantes dabei ist. Beim Computer ist es ähnlich, es wird dabei geschaut, ob ein Programm (meistens ein Trojaner) auf Ihrem Computer läuft und man zu diesem Kontakt aufnehmen kann. Wenn sich auf Ihrem Computer kein Trojaner befindet, brauchen Sie auch nichts befürchten.



  2. #2
    TGHL.Ara
    Gast
    hab mir jetzt deinen Text nicht komplett durchgelesen, hört sich aber ganz vernünftig an
    Als "Referenz" zu dem Thema kann ich nur http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html empfehlen, evtl findest da ja noch ein paar Anregungen

  3. #3
    Benutzerbild von ap0calypse
    Registriert seit
    Jan 2004
    Ort
    Wörgl / Tirol / Austria
    Beiträge
    1.428
    Likes
    0
    Was deine Beschreibung mit den Ports und Diensten angeht, würde ich die Dienste und Ports eher als "Türen" statt Häusern beschreiben. In eine nicht vorhandene Tür kann nicht eingebrochen werden demnach. Andererseits gibt es aber auch Firewalls die vortäuschen, dass ALLE ports offen sind, was oft sogar noch ein wenig verzwickter ist als garkeiner.

    Warum rätst du generell vom Kauf einer Personal Firewall ab? Klar, es gibt auch gute Freeware-Produkte, aber ob diese jetzt den kommerziellen Produkten den Rang abschlagen, halte ich für sehr fraglich.

    Dein Punkt mit dem Router ist grundsätzlich richtig, aber ich kenne einige Produkte, die in der Konfiguration starke Schwächen aufweisen, also sollte man bei einem solchen Router wirklich aufpassen, was er alles können sollte. ( DoS-Erkennung, Intrusion Detection, WasWeißIch, ...)

    Das mit der Scheinsicherheit ist ein wirkliches Problem, das aber vom User ausgeht, wie du sehr gut formuliert hast. Denn mitunter einer der wohl häufigsten Gründe, warum sich Viren, Würmer und dergleichen so rasend schnell auf Windows-Systemen verbreiten können, ist das ( zwar einfache aber ) extrem dumme Benutzerverwaltungssystem von Windows. Ich persönlich kenne sehr viele User die unter dem Administrator-Konto arbeiten, oder sich zumindest ein Konto mit eben genau denselben Rechten verschafft haben.

    Ahja, benutze lieber den Ausdruck Trojanisches Pferd statt Trojaner. Trojaner ist nämlich falsch.

    Ansonsten sieht das ganze nach einer guten Arbeit aus. Wofür ist das?
    To follow the path:
    look to the master,
    follow the master,
    walk with the master,
    see through the master,
    become the master.

  4. #4
    Benutzerbild von pawlak
    Registriert seit
    Feb 2002
    Beiträge
    11.719
    Likes
    58
    Original erstellt von ap0calypse
    Was deine Beschreibung mit den Ports und Diensten angeht, würde ich die Dienste und Ports eher als "Türen" statt Häusern beschreiben. In eine nicht vorhandene Tür kann nicht eingebrochen werden demnach. Andererseits gibt es aber auch Firewalls die vortäuschen, dass ALLE ports offen sind, was oft sogar noch ein wenig verzwickter ist als garkeiner.
    naja, ob Tür oder Haus ist doch eigentlich egal, oder? :>

    Original erstellt von ap0calypse
    Warum rätst du generell vom Kauf einer Personal Firewall ab? Klar, es gibt auch gute Freeware-Produkte, aber ob diese jetzt den kommerziellen Produkten den Rang abschlagen, halte ich für sehr fraglich.
    Siehe Norton Dreck. Anders kann mans halt nicht nennen, das Ding is einfach Scheiße, und keinen Cent wert. Sollte man Geld dafür bekommen. Warum ich vom Kauf abrate ist ganz einfach: Für das Geld, was man für ne Personal Firewall ausgeben müsste, kann man sich gleichen nen Router kaufen, welcher sicherer ist und sonst noch andere Vorteile hat (kein einwählen, "always" on usw). Dass einige Personal Firewalls, die man kaufen kann, besser sein können, das ist soweit klar, nur eine klare Kaufempfehlung möchte ich nicht aussprechen, und nur Norton als Dreckssoftware hinzustellen ist auch nicht allzugut.

    Original erstellt von ap0calypse
    Dein Punkt mit dem Router ist grundsätzlich richtig, aber ich kenne einige Produkte, die in der Konfiguration starke Schwächen aufweisen, also sollte man bei einem solchen Router wirklich aufpassen, was er alles können sollte. ( DoS-Erkennung, Intrusion Detection, WasWeißIch, ...)
    Ja, ne klare Routerempfehlung sollte auf jeden Fall rein, das ist schon richtig. Routerkonfiguration wird auch noch auf der Seite dann beschrieben, also genau von diesem Router. Natürlich auch, was man generell beachten sollte.

    Original erstellt von ap0calypse
    Das mit der Scheinsicherheit ist ein wirkliches Problem, das aber vom User ausgeht, wie du sehr gut formuliert hast. Denn mitunter einer der wohl häufigsten Gründe, warum sich Viren, Würmer und dergleichen so rasend schnell auf Windows-Systemen verbreiten können, ist das ( zwar einfache aber ) extrem dumme Benutzerverwaltungssystem von Windows. Ich persönlich kenne sehr viele User die unter dem Administrator-Konto arbeiten, oder sich zumindest ein Konto mit eben genau denselben Rechten verschafft haben.
    Auf das verzichten des Admin-accounts wird auf der Seite dann noch explizit hingewiesen. Das wird einer der wichtigsten Punkte, denn ich kenne keinen Windows xp nutzer, der Seine Rechte einschränkt persönlich :> alle mit der Standardkonfiguration, die nunmal scheiße ist.

    Original erstellt von ap0calypse
    Ahja, benutze lieber den Ausdruck Trojanisches Pferd statt Trojaner. Trojaner ist nämlich falsch.
    Ok, hast Recht, werd ich ausbessern

    Original erstellt von ap0calypse
    Ansonsten sieht das ganze nach einer guten Arbeit aus. Wofür ist das?
    Das Ganze ist für ne Seite, die Computer Anfängern den Umgang mit Windows (später auch mal mit Linux) zeigen soll. Sachen wie Windows-Update erklären, Virenscanner installation, Windows-Rechte einschränken usw wird alles detailiert erklärt werden. Die momentane Seite wird umgebaut, momentan ist nur die Technik noch nicht 100%ig fertig, einige Bugs müssen raus usw. Die momentane Seite ist http://www.newbieweb.de allerdings noch im alten Design und mit alter Technik, wir hoffen, dass die Seite in dieser oder der nächsten Woche wirklich endgültig fertig wird.


    Danke soweit an euch beide, hab grad keinen Bock mehr zu schreiben, 4 Stunden deutsch AP reichen irgendwie
    Original geschrieben von pagenez
    ach und pawlak?
    du verhurrtes stück einer dreckwurst, halt doch bitte dein maul, ja? wer absolut kein real-life hat, einer wie du, der absolut nichts zu tun hat, als seine scheiße im irc auf andere abzulassen, sollte sich seinen daumen in das arschloch schieben, die augen schließen und dabei an *****n denken.
    alles klar?
    gut!

  5. #5
    Benutzerbild von n3gator
    Registriert seit
    Mär 2004
    Beiträge
    3.023
    Likes
    0
    dickes lob
    nich schlecht und vorallem leicht verständlich geschrieben^^.

    mfg
    cornichon

  6. #6
    tux-fan
    Gast
    Der Einsatz vom Microsoft Qualitätssoftware macht sowas wie eine Firewall sowieso überflüssig. Riskant und sogar gefährlich ist nur der Einsatz von Open-Source-Produkten. So z.B. erleichtert Open-Source Software terroristische Angriffe, wie eine von Microsoft mitfinanzierte Studie aufzeigt. -- Um der Wahrheit die Ehre zu geben, M$ hat sich kürzlich von dieser Studie wieder distanziert (2 Jahre nach Erscheinen derselben).

    Aber mal zurück zum Thema. So ganz einleuchtend fand ich pawlak's Artikel dann doch nicht (oder ich hab's einfach nicht richtig verstanden). Am Anfang der Vergleich mit der Burg ist irgendwie ein bißchen verdreht, aber es ist schon richtig, daß eine Firewall ein eigenständiges System sein sollte und nicht nur eines von vielen Programmen auf einem Arbeitsplatz- oder gar Server-Rechner. Es sollte noch erwähnt werden, daß eine Firewall nicht nur gegen Angriffe von draußen, sondern auch Daten im Innern eines Netzes schützen kann/soll.

    Hier mal ein Beispiel mit einem ftp-server im heimischen Netzwerk. Ohne eine Firewall könnten die User daheim, als auch Außenstehende auf den ftp zugreifen. Ein Angreifer der von Außen kommt, wird aber wohl kaum deinen privaten ftp-Server nutzen wollen; für ihn ist das einfach nicht interressant genug. Verbietet man nun den Zugriff von Außen durch eine Firewall, scheint das Problem eines eventuellen Einbruchs zunächst gelöst. Im internen Netz kann auf den ftp zugegriffen werden, externe Zugriffe werden verweigert. Ein potentieller Angreifer wird aber jetzt wohl aufmerksam werden: "Der Zugriff auf die ftp-Ports wird verweigert; da muß was Interressantes verborgen sein". Die Firewall wird also nun so konfiguriert, daß von Außen kommende Zugriffe nicht mehr verboten, sondern nur "rejected" werden. Der Angreifer kann nun wieder auf die ftp-Ports zugreifen, es wird ihm aber mitgeteilt, daß kein ftp-server vorhanden sei; daraus folgt: kein Interresse mehr an Attacken.

    Was ich damit sagen will, eine Firewall muß sich nicht auf das Blockieren von Diensten beschränken. Sie kann auch falsche Tatsachen vorgaukeln, die einen Angriff uninterressant erscheinen lassen. Somit hätte auch eine qualitativ schlechtere Firewall noch ihre Daseinsberechtigung. Sie kann vielleicht einen Angriff nicht verhindern, aber dazu beitragen, daß es garnicht erst zu einem Angriff kommt.


    p.s. die Quelle für die oben genannte Studie find ich jetzt auf die Schnelle nicht

    Nachtrag: die fehlende Quelle
    http://www.pro-linux.de/news/2004/6934.html





  7. #7
    bloody_reaper
    Gast
    Also ich komm damit noch nicht so ganz klar. Das Beispiel mit der Burg ist ja wohl ziemlich verdreht. Auszerdem ist es (auch, oder gerade fuer einen Anfaenger) etwas informationslos.
    Weiterhin: Beispiele schoen und gut, aber Beispiele nicht zum Selbstzweck, sondern nur zum verdeutlichen eines Sachverhaltes.
    Die Beispiele sollen jetzt mal den Hauptkritikpunkt darstellen (fuer alles andere werd ich mir das noch wann anders mal genauer ansehen evtl, bin atm gerade voll im Stress):
    1. Was haelst du davon, die Burg um eine 2. Schutzmauer zu erweitern. Daran kannst du zeigen, dass ein potenzieller Angreifer schon in den eigenen Mauern ist (zwischen 1. und 2. Schutzwall), wenngleich er davon (theoretisch) noch nichts hat. Aber das sollte eine ganz gute Anfangsituation darstellen (fuer den Leser die Problematik besser zu verstehen). Evtl kann man spaeter da nochmal etwas mehr Informationen reinbringen, derzeit besteht die Argumentation lediglich in einer These, die deine Meinung wiederspiegelt ("ist grundsaetzlich schwansinnig") und dann irgendwas von irgendeiner Burg. Da fragt man sich als geneigter Leser (besonders Anfaenger mit wenig Hintergrund: wtf? ).

    2. Etwas genauer muesste auch noch der Text zu den Diensten sein. Obwohl das eigtl nicht in einen Text zu PFWs reingehoert, aber ein Link zu einem Text, der da weiter drauf eingeht, sollte hier schon sein. Und der Hinweis, dass das die erste Masznahme sein sollte, erst danach ueber eine PFW (o.ae.) nachdenken, sollte hier noch rein. Auch fehlt dann der Bezug zur PFW -> aha, PFW is gaanz schlecht und schwachsinnig, Dienste abschalten soll eher helfen, ... wozu soll ich dann eine pfw noch haben? (moegliche Gedanken eines Anfaengers)

    Aber vorallem stoert mich hier wieder das gegebene Beispiel: Wieso Haeuser? Wo kommen die denn auf einmal her? Stehen die in der Burg? Und wenn ein Haus einem Port entsprechen soll, was entspricht dann meinem System? Das Dorf? Wieso soll ich denn ein Dorf schuetzen, bin ich die Polizei?
    Greif doch lieber das Beispiel vom Anfang wieder auf: Die Burg (mein System, das ich schuetzen will) hat verschiedene Eingaenge/Tueren/Tore (Ports, die natuerlich 'leichter angreifbar sind als die starke Mauer").
    Je weniger Beispiele, desto besser, da weniger verwirrend. Ideal ist es, wenn man schon so ein Beispiel hat, das dann weiterzuverwenden und zu erweitern, als mit etwas neuen anzufangen. Das sorgt gerade bei Anfaengern ohne groszartiges Hintergrundwissen fuer eine klare Linie und weitaus weniger Verwirrung, als 100Beispiele, die eigtl nichts miteinander zutun haben (aber doch alle im Zusammenhang stehen).

    4. >>Aber eine Personal Firewall kann Programmen den Zugriff von Programmen ins Internet untersagen...
    >>Das ist nicht ganz korrekt.
    Natuerlilch ist es das, sie kann das schon - einen versierten Anwender Vorrausgesetzt (stimmt zwar nicht ganz, aber das will der Anfaenger hoeren. Das sind schon eher "Informationen" als nur "Nein, glaub mir, ich sage dir, das ist alles schwachsinn")

    Generell hab ich dann noch ein paar Sachen zu bemaengeln:
    Du redest nicht haeufig mit Personen per-Sie, oder? Das klingt manchmal etwas gestelzt (auf der einene Seite eine formelle Anrede mit Sie, auf der anderen Seite ein eher persoenlicher und von persoenlichen Meinungen dursetzter Text).
    Auszerdem solltest du imo wirklich etwas aufpassen, PFWs nicht derart schlechtzumachen. Du kannst (und sollst auch unbedingt) auf die Grenzen und Tuecken einer PFW aufmerksam machen, aber den Leser durch Informationen selber zu dem Schlusz kommen lassen, dass sich das nicht lohnt. Meinetwegen kannst du den Leser auch ruhig dahinfuehren, aber die Zauberworte heiszen Information und Sachlichkeit. Und besondere letztere vermisse ich in dem Text arg.
    Dein Text koennte eher heiszen: "Warum findet Pawlak PFWs scheisse".
    Bspw. kannst du, um "Informationen" reinzubringen, dich von deiner Meinung (im Text) trennen, dass die PFW-Hersteller boeswillig, wissentlich und vorallem bewusst alle scans als Attacken darstellen. Stattdessen kannst du sachlich bleiben und sagen, dass die Dinger auch nicht allwissend sind und alles als moegliche Attacke zeigen. Das ist einmal sehr verwirrend, und zum anderen eine Art "Grenze" fuer den Anfaenger darstellt.

    Denk dran, die, die deinen Text lesen, sind die potenziellen flamer von morgen. Wenn du den Text nicht sachlich schreibst, sondern nur alles auf deiner eigenen (im Text nicht, oder nur unzureichend begruendeten) Meinung aufbaust, werden diese dummen Flamewars (PFWs pro/contra) nie aufhoeren, oder sich generell auf ein sachlicheres Niveau verschieben.


  8. #8
    Benutzerbild von Raz0Rm4N
    Registriert seit
    Sep 2001
    Beiträge
    3.232
    Likes
    0
    Original erstellt von ap0calypse
    Was deine Beschreibung mit den Ports und Diensten angeht, würde ich die Dienste und Ports eher als "Türen" statt Häusern beschreiben.
    F1. Ich glaube, das ist für einen Anfänger etwas leichter verständlich (Haus = dein System, Tür = Port)

    Original geschrieben von drluv
    das forum ist wie die firma. man kommt nicht lebend heraus, es prägt, es vermittelt, es ist.
    http://www.last.fm/user/RazorMan

    I believe that it's time to feel music again. To feel it like people felt it in the forest, you know, like, before electricity corrupted everybody. I believe it's a tribal thing. And it can feel, and it can take you to places that you couldn't have arrived at otherwise. People try to downplay art like it's entertainment, when really it's magic. It's magic that came from the caves millions of years ago and people try to make it small, but really it's the highest thing that we can aspire as humans: to try to communicate feelings and emotions to each other. (Dax Riggs)

  9. #9

  10. #10
    Netox
    Gast
    was ich nun allgemein mitbekommen hab, bringen schlechte pf nicht viel. besser gesagt nix.
    ein router ist wohl für den normalen anwender mehr als genug schutz. noch die windows sache optimieren und fertig...

    was ein sehr gutes, grundlegendes, argument ist, dass kein hacker der welt es auf deinen pc abgesehn hat!!
    und wenn, er kommt immer rein.


    was ich vermisse, ist welche art von angriffen eine firewall "abwhert".
    kontrolliert sie nicht einfach nur die ports und dass die sicher sind?

  11. #11
    Benutzerbild von saftig
    Registriert seit
    Jun 2001
    Beiträge
    1.971
    Likes
    0
    Eine Firewall kann eigentlich alle Arten von Angriffen abwehren.
    Deine Frage zielt wohl eher auf Paketfilter ab und die sorgen dafuer das Dienste, die fuer das LAN angeboten werden im Internet nicht verfuegbar sind.

  12. #12
    Benutzerbild von Sarti
    Registriert seit
    Apr 2000
    Beiträge
    6.230
    Likes
    1
    es gibt 3 grundtypen von firewalls

    statische paketfilter:
    untersuchen den datenverkehr auf netzwerkebene und filtern anhand von ip adressen und ports
    sehr performant aber wenig sicherheit

    application layer gateways (auch proxies):
    untersuchen den datenverkehr auf applikationsebene und filtern anhand von kontextinformationen
    sehr genaue filterung möglich aber problematisch da die anwendung von sich aus proxy unterstützung bieten muss
    ausserdem werden pro client/server-kommunikation immer 2 verbindungen aufgebaut
    eine vom client zum proxy und von da aus eine zum eigentlichen ziel-server
    ist natürlich auch nicht sehr performant und die komplexen filtermöglichkeiten versprechen hohen administrationsaufwand

    stateful inspection firewalls:
    funktionieren im prinzip ähnlich wie statische paketfilter
    allerdings wird sämtlicher ausgehender verkehr in einer dynamischen statustabelle protokolliert
    bei einkommenden verkehr wird anhand der tabelle sichergestellt ob die verbindung ursprünglich von diesem host iniitiert wurde
    ist ein wenig langsamer als statisches filtern aber wesentlich sicherer
    wird in der praxis am häufigsten eingesetzt





  13. #13
    Benutzerbild von saftig
    Registriert seit
    Jun 2001
    Beiträge
    1.971
    Likes
    0
    das ist nicht ganz richtig:
    Auszug aus der packetfilter Beschreibung (OpenBSD):
    Keeping state has many advantages including simpler rulesets and better packet filtering performance.

    Desweiteren ist eine Firewall nicht unbedingt auf diese 3 Dinge beschraenkt.

    Da waere zunaechst einmal der von dir genannte Kernpunkt Filtereigenschaften an den man immer zuerst denkt (ich jedenfalls). Das ganze macht aber nur Sinn wenn man die Firewall auch an der richtigen Stelle aufstellt (also Topologie und Konfiguration beachtet)
    Topologie - keine Vollvermaschung...
    Konfiguration - demilitarisierte Zonen einrichten...

    Mit gutem Willen kann eine Firewall auch noch folgende Funktionen erfuellen:

    Authentifikation,
    VPN
    Auditing
    Virenscanner
    Adressumesetzung

  14. #14
    Benutzerbild von Sarti
    Registriert seit
    Apr 2000
    Beiträge
    6.230
    Likes
    1
    Original erstellt von saftig
    das ist nicht ganz richtig:
    Auszug aus der packetfilter Beschreibung (OpenBSD):
    Keeping state has many advantages including simpler rulesets and better packet filtering performance.
    stateful inspection firewalls haben wesentlich mehr zu tun als statische paketfilter
    sie müssen auf netzwerkebene und auf applikationsebene analysieren und nebenbei eine dynamische tabelle pflegen
    man muss schon extrem viele regeln haben damit ein statischer paketfilter langsamer ist
    vielleicht hat openbsd aber auch nur ein performance problem beim ruleset parsen? (verdammt ich verwende ja selber pf)
    siehe
    http://www.bfd.bund.de/technik/Ori_int2/ohint_3.html
    http://www.microsoft.com/germany/ms/...secmod155.mspx
    http://www.mathematik.uni-ulm.de/sai...licharbeit.pdf


    Desweiteren ist eine Firewall nicht unbedingt auf diese 3 Dinge beschraenkt.

    Da waere zunaechst einmal der von dir genannte Kernpunkt Filtereigenschaften an den man immer zuerst denkt (ich jedenfalls). Das ganze macht aber nur Sinn wenn man die Firewall auch an der richtigen Stelle aufstellt (also Topologie und Konfiguration beachtet)
    Topologie - keine Vollvermaschung...
    Konfiguration - demilitarisierte Zonen einrichten...

    Mit gutem Willen kann eine Firewall auch noch folgende Funktionen erfuellen:

    Authentifikation,
    VPN
    Auditing
    Virenscanner
    Adressumesetzung
    [red]GRUNDTYPEN[/red]
    egal ob deine firewall appliance viren und spam filtert, als VPN gateway dient oder nebenbei noch kaffee machen kann
    sie wird auf jeden fall zu mindestens einem der obrigen grundtypen zählen
    daneben gibt es noch eine reihe weiterer typen die diese verfahren vermischen (hybride firewalls) oder leicht modifizieren
    aber alle basieren auf diesen grundlegenden techniken

  15. #15
    Benutzerbild von saftig
    Registriert seit
    Jun 2001
    Beiträge
    1.971
    Likes
    0
    ... auf applikationsebene analysieren ...
    das halte ich fuer ein Geruecht. Fuer sowas sind Proxys da.

    Es gibt zwar tatsaechlich Firewalls die das machen (Checkpoint Firewall 1) aber das kennzeichnet nicht den Typ stateful inspection Firewall. Diese arbeiten eigentlich auf Layer 3, koennen 4 aber wegen der engen Verzahnung von TCP und IP direkt mituntersuchen. Die Regeln die man angeben kann beziehen sich einfach nur auf diese beiden Layer, IP Adressen, Protokoll, Portnummern um die 3 wichtigsten zu nennen. Da ist nichts was einen Anwendung kennzeichnet.

    einer von deinen links behauptet zwar tatsaechlich, das sich dynamische paketfilter mit layer 7 beschaeftigen.
    Auf die schnelle habe ich nur diesen link gefunden:
    http://www.webopedia.com/TERM/S/stat...nspection.html


    mal sehen wohin die Diskussion noch fuehrt ;P

  16. #16
    Benutzerbild von Sarti
    Registriert seit
    Apr 2000
    Beiträge
    6.230
    Likes
    1
    du hast dir deinen link aber schon durchgelesen ja? ;P

    An example of a stateful firewall may examine not just the header information but also the contents of the packet up through the [red]application layer[/red] in order to determine more about the packet than just information about its source and destination.
    ...

    Because of this, filtering decisions are based [red]not only on administrator-defined rules[/red] (as in static packet filtering) but also on [red]context[/red] that has been established by prior packets that have passed through the firewall.


    um kontext-bezogen reagieren zu können braucht man kenntnisse des protokolls
    nimm dir zb. das ftp protokoll
    für eine session werden mehrere (sowohl outgoing als auch incoming) verbindungen benötigt
    eine ftp anfrage wird an einen server auf port 21 geschickt
    der server schickt daraufhin eine antwort auf einen vom client spezifizierten port und öffnet port 20 für ftp-data
    ohne kenntnisse des protokolls weiss die firewall nicht dass all diese verbindungen zu einer einzigen session gehören
    stateful inspection firewalls arbeiten (filtern) auf netzwerk ebene
    das heisst sie leiten pakete weiter, verwerfen sie, schicken antwortpakete etc.
    um das möglichst effizient zu machen analysieren sie auch auf applikationsebene
    sie können aber nicht content filtern wie proxies es können
    sie können also nicht zb. aus einem http stream bestimmte java script aufrufe filtern
    alles klar?
    gut
    dann darf sich noch jeder ein eis nehmen und dann reiten wir weiter

  17. #17
    Benutzerbild von saftig
    Registriert seit
    Jun 2001
    Beiträge
    1.971
    Likes
    0
    0. wir sind uns darueber einig das
    stateful inspection == dynamischer Paketfilter?

    1. steht da explizit:
    Stateful inspection is a firewall architecture that works at the network layer

    2. ok "up to application layer" heisst es gibt auch welche die es koennen - hab ich nicht bezweifelt sogar schon erwaehnt.

    3. Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.

    Rekursion?

    4. ftp
    Was du beschreibst ist active ftp.
    iptables z.B. kommt ohne ip_conntrack_ftp damit nicht klar und man muss mehr oeffnen als noetig ist.


    stateful inspection firewalls arbeiten (filtern) auf netzwerk ebene
    jo
    das heisst sie leiten pakete weiter, verwerfen sie, schicken antwortpakete etc.
    jo
    um das möglichst effizient zu machen analysieren sie auch auf applikationsebene
    noe
    sie können aber nicht content filtern wie proxies es können
    jo
    sie können also nicht zb. aus einem http stream bestimmte java script aufrufe filtern
    jo, wobei firewall 1 genau das kann

    Fazit mir scheint wir haben einfach nur eine unterschiedliche Auffassung was den Kern eines stateful packetfilters ausmacht

    freundlich bleiben! (was nicht heisst das du es bis jetzt nicht warst)

  18. #18
    Benutzerbild von Sarti
    Registriert seit
    Apr 2000
    Beiträge
    6.230
    Likes
    1
    Original erstellt von saftig
    0. wir sind uns darueber einig das
    stateful inspection == dynamischer Paketfilter?
    jo


    1. steht da explizit:
    Stateful inspection is a firewall architecture that works at the network layer
    ich hab dir oben schon erklärt wie das gemeint ist


    3. Because of this, filtering decisions are based not only on administrator-defined rules (as in static packet filtering) but also on context that has been established by prior packets that have passed through the firewall.

    Rekursion?
    bitte?


    4. ftp
    Was du beschreibst ist active ftp.
    iptables z.B. kommt ohne ip_conntrack_ftp damit nicht klar und man muss mehr oeffnen als noetig ist.
    schlimm für iptables
    aber wer benutzt das schon


    Fazit mir scheint wir haben einfach nur eine unterschiedliche Auffassung was den Kern eines stateful packetfilters ausmacht
    wer könnte am besten die richtige auffassung klarstellen als der erfinder selbst?
    http://www.checkpoint.com/products/d...Inspection.pdf

    auszug:

    With Stateful Inspection,packets are intercepted at the network layer for best performance (as in
    packet filters),but then data derived from all communication layers is accessed and analyzed for
    improved security (compared to layers 4-7 in application-layer gateways).Stateful Inspection then
    introduces a higher level of security by incorporating communication-and application-derived state
    and context information which is stored and updated dynamically.This provides cumulative data
    against which subsequent communication attempts can be evaluated.

  19. #19
    mb`Gabr1el
    Gast
    oh yeah wazzup inspektor sarti in da house !

  20. #20
    Benutzerbild von Sarti
    Registriert seit
    Apr 2000
    Beiträge
    6.230
    Likes
    1
    immer diese fanfags

Forumregeln

  • Es ist dir nicht erlaubt, neue Themen zu verfassen.
  • Es ist dir nicht erlaubt, auf Beiträge zu antworten.
  • Es ist dir nicht erlaubt, Anhänge hochzuladen.
  • Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
  •