n�chstes Treffen

A. Dreyer ml10035 at adreyer.com
Mi Okt 28 21:53:47 CET 2009


Peter Voigt wrote:
> On Tue, Oct 27, 2009 at 08:42:33PM +0000, A. Dreyer wrote:
> 
>>> Solche Software erh�ht schlichtweg die Angriffsfl�che von Windosrechnern.
>> Diese Aussage halte ich f�r recht zweifelhaft. Einerseits ist dies ein
>> St�ck Software mehr das Probleme bereiten kann, andererseits bietet
>> Win$ows von Hause aus eine recht gro�e Angriffsfl�che und durch eine
>> aktuelle und "vern�nftig" konfigurierte Desktop-Firewall wird diese
>> (zumindest nach au�en hin) reduziert.
>> [[Nat�rlich w�re besser man k�nnte unben�tigte Dienste einfach abschalten.]]
> 
> Nur ein einzelner Link zu diesem Thema:
> http://www.team-cauchy.de/personal/

(K) 2001 by Team Cauchy
.. keine Updates? Also hat sich in den letzten 8 Jahren der Einsatzzweck
und die Umgehensweise mit dem Rechner nicht ge�ndert und es setzt
niemand mehr Windows-Rechner mit Software die automatische Updates
durchf�hrt ein oder hat Skype installiert, benutzt Social-Websites wo
jeder vermerkt wenn er mal auf Toilette geht..


> Diese Frage ber�hrt mich weniger, weil keiner meiner Windos-Rechner mit dem 
> Internet verbunden ist. Mir ging es darum, das vorgeschlagene Thema zu 
> pr�zisieren:
> 
> Es geht um hidden firewalls, nicht um personal firewalls. 
>   
> Beide unterscheiden sich in wesentlichen Punkten:
> 
> (1)  Personal firewalls gibt es nur auf Windos-Rechnern.

Falsch! Wenn ich mir die Liste der Linux "Firewall"-Pakete in debian
anschaue sehe ich dort u.a.:
- firestarter
- guidedog/guarddog
- gufw
- kmyfirewall
- mason
- nufw nuauth/nutcpc/nuapplet

und deren Beschreibungen �hneln doch sehr der Feature-Liste von Desktop-
oder Personal-Firewalls..

> (2)  Personal firewalls dienen anderen Zwecken, enthalten andere/weitere Funktionen
> und sind technisch anders aufgebaut als hidden firewalls.

korrekt

> (3)  Der Nutzen von personal firewalls ist in Fachkreisen umstritten.

Ebenso der Einsatz von (packet-filtering) Firewalls allgemein, es gibt
auch die Meinung das alleine filtering Proxys die L�sung sind. (Proxys
sind meines Erachtens nach keine Firewalls..)

Die einzig absolut sichere Firewall ist ein durchgeschnittenes Kabel.

> (4)  Hidden firewalls verf�gen �ber ein technisch interessantes Alleinstellungs-
> merkmal, n�mlich der fehlenden IP-Adresse, was im praktischen Betrieb mehrere 
> Vorteile erzeugt.
> 
>>> Der Nutzen solcher "personal firewalls" ist im Fachkreisen umstritten. Viele
>>> Fachleute halten den Einsatz solcher Software f�r kontraproduktiv. Der im diesem 
>>> Themenkreis versierte CCC e.V. r�t von ihrem Einsatz ab. Stattdessen schl�gt 
>>> der CCC andere Ma�nahmen zur Absicherung von Winlosrechnern vor.
>> Umstritten ja. Den letzten Satz w�rde ich gerne pr�zisiert haben:
>> - sagt der CCC man solle andere Ma�nahmen *anstelle* von
>> Desktop-Firewalls einsetzen?
>> - meint der CCC man solle *zus�tzlich* andere Ma�nahmen vornehmen?
> 
> Der CCC pr�zisiert seine Haltung in seiner Sicherheits-FAQ und verweist auf eine
> weitere Firewall-FAQ:
> 
> http://ccc.de/faq/security?language=de#internet
> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
> 
> Im Kern sehe ich keinen Widerspruch zu Deinen Aussagen.

Ich w�rde Bridging Firewalls gar nicht mit Desktop-Firewalls in einem
Artikel erw�hnen da diese komplett unterschiedliche Einsatzzwecke haben
und meines Erachtens nach �berhaupt nichts miteinander zu tun haben.

(Allerdings finde ich die Aussage in dem einen Artikel das die Personal
Firewalls schlechter sind als die Windows Firewall schon recht weit her
geholt. Ja, es ist zus�tzliche Software, aber warum sollen andere
Hersteller da schlechter programmieren als Microsoft? Ich glaube es geht
dabei eher um die Erwartungshaltung der Kundschaft.)

>>> Ihr technischer Vorteil besteht darin, keine IP-Adresse zu verwenden, 
>>> so dass sie im Netz quasi unsichtbar bleiben. Deshalb kann man sie gar nicht
>>> direkt angreifen. Hidden firewalls vermeiden das Problem, die Angriffsfl�che
>>> der zu sch�tzenden Rechner zu erh�hen.
>> Nein. Es sei denn du w�rdest vor jeden Netzwerk-Rechner eine bridging FW
>> h�ngen.. 
> 
> Um meinen Standpunkt zu verdeutlichen:
> 
> Hidden firewalls vermeiden das Problem, die Angriffsfl�che zu erh�hen. Obwohl 
> der Firewall-Rechner als weiteres denkbares Angriffsziel ins Netzwerk gestellt 
> wird, wird der Angriffsvektor gegen das betroffene Netzwerksegment mit allen 
> seinen Rechnern nicht nennenswert erh�ht, weil direkte Angriffe gegen den 
> Firewall-Rechner ohne IP-Adresse kaum m�glich sind. 

Auch "Hidden Firewalls" parsen externen Netzwerk-Traffic - eine
unsaubere Programmierung ist dabei genauso gef�hrlich wie bei anderen
Firewalls. Einzig das diese von Hause aus keine IP-Adresse haben
bedeutet noch nicht das hier keine Buffer-Overflows m�glich oder
wahrscheinlich sind. Sobald ein derartiges System "infiziert" ist kann
es nat�rlich outbound Connections aufbauen und (versuchen) sich zu
Bot-Netzen zu verbinden.
An sich ist dies auch nur Security by Obscurity.

Fr�her sah man noch �fters Firewalls auf denen nur der Kernel aktiv war,
keinerlei Userspace Programme. Davon scheinen allerdings nicht mehr
viele �brig geblieben zu sein, scheinbar will jeder heutzutage UTM
(Unified Thread Management) mit eingebautem Virusscanner, Streaming
Media Filter, VoIP,.. und holt sich damit die gr��ere Angriffsfl�che
direkt ins Haus.

Was ist eigentlich genau der Unterschied zwischen einer Bridging
Firewall und einer Inline-IPS ?



Wie gesagt w�re ich gerne bei dem Treffen und das Posting soll kein
Bashing sein, sondern ich wollte dazu nur mal eine Diskussion anregen..


Ciao,
Achim



Mehr Informationen über die Mailingliste Lugrav