(Un)Sinn einer Personal Firewall

[lockdoc]

Hallo,

da ich immer oefters von Linux/BSD Leuten lese, dass eine Application Firewall quatsch ist und ich als ex-Windows Nutzer es doch eigentlich sehr geschaetzt habe (Tiny Personal Firewall 2.15), wollte ich hier gern mal ueber deren Sinn bzw. Unsinn diskutieren.

Ich persoehnlich halte es fuer Sinnvol, zumindest auf einem Desktop System. Hier mal ein paar Gruende dafuer

+ Mit einer Application Firewall kann ich beispielsweise mal auf die schnelle eine Application vom Netz nehmen, was sehr praktisch sein kann
+ Genauso kann ich dann den Netzzugriff auf bestimmte Programme regulieren

+ Zudem kann ich bei closed source Anwendungen kucken, ob da nicht Jemand unbemerkt irgendwo hin telefonieren moechte (e.g.: wine Windows Applications oder generell closed source)


Also wie sehen die Gegner das?

 

[zuglufttier]

Eine Lösung für ein Problem, welches nicht auftreten sollte.

 

[lockdoc]

@zuglufttier:

Kannst du das konkretesieren. So gesehen ist eine normale Firewall auch eine Art Loesung fuer ein Problem, welches nicht auftreten sollte

 

[olhe]

Du meinst in der Regel die Dinger, die man unter Windows "Personal Firewall" nennt. Eine "Firewall" ist jedoch eher als Konzept zu bezeichnen, denn als eierlegende Wollmilchsau. Wer Angst vor Programmen hat, welche Kontakt zum Hersteller aufnehmen, der hat zudem gänzlich andere Probleme. Und darüber hinaus vergißt derjenige, daß sich jede PFW leichtens innerhalb von Windows ausschalten läßt - Sicherheit ist da eher ein Glücksspiel.

Es existieren auch unter Windows Werkzeuge, um den Verkehr zu beobachten. Wo ist also das Problem? Und wer meint, mit dieser Art von Schlangenöl einem unixoiden System begegnen zu wollen, der hat definitiv nicht seine Hausaufgaben gemacht.

 

[Azazyel]

Du meinst in der Regel die Dinger, die man unter Windows "Personal Firewall" nennt.

Richtig. Eine wichtige Unterscheidung, denn unter einer Application Firewall versteht man i.d.R. etwas anderes als unter einer Personal Firewall.

Wer Angst vor Programmen hat, welche Kontakt zum Hersteller aufnehmen, der hat zudem gänzlich andere Probleme.

Vor allem wird die Anwendung zu diesem Zeitpunkt schon im Kontext des Benutzers ausgeführt und kann noch ganz andere Sachen anstellen, als nur eine Netzwerkverbindung aufzubauen.

Und darüber hinaus vergißt derjenige, daß sich jede PFW leichtens innerhalb von Windows ausschalten läßt - Sicherheit ist da eher ein Glücksspiel.

Man muss sie nicht mal beenden (das würde dem Anwender ja vielleicht auffallen); viel eleganter ist es, sie einfach zu umgehen (in dem man z.B. den Browser mit verstecktem Fenster aufruft und als Transportmedium missbraucht).

Mit einer Personal Firewall kann man nur den Netzzugriff der Programme regulieren, die sowieso nichts Böses im Schilde führen.

 

[McStarfighter]

Ich halte von diesen Personal Firewalls auch nicht allzu viel. Früher, als ich noch den Worten von PC-Welt und Co. Glauben schenkte, da wollte ich das auch unbedingt haben weil es mir ja so sehr helfen würde.
Heute sehe ich das von einer anderen Seite: Seit Windows XP SP 2 (wenn man mal die Windows-Welt betrachtet) gibt es ne Firewall und die macht ihren Job soweit auch sehr gut. Und nun soll ich mir von nem anderen Hersteller ein weiteres Stück Software installieren, welches alles angeblich besser macht?! Hat das denn etwa keine eigenen Bugs und ist absolut fehlerfrei? Mitnichten. Die bekannten Softwareschmieden sind auf Privatkunden ausgerichtet und haben auch eine dementsprechend lausige Qualitätskontrolle. Wobei so manche Enterprise-Firewall auch nicht besser ist ...
Unterm Strich: Man hat es bei Personal Firewalls mit Software zu tun, die das System schützen soll, auf dem es selbst sitzt und darauf angewiesen ist. Das kann nicht gut sein.
Ne ordentliche Firewall ist ein dediziertes System ...

 

[bananenBrot]

Ich finde personal Firewalls klasse - man hat einen schönen Überblick über das, was die ganzen gekauften Apps so machen.
Andererseits muss jedem bewusst sein, dass man jederzeit an so einer "Firewall" vorbeikommt, wenn man es möchte. Dh gegen Schadsoftware ist sie nutzlos. Aber so für den Hausgebrauch sehr nett

 

[lockdoc]

Du meinst in der Regel die Dinger, die man unter Windows "Personal Firewall" nennt. Eine "Firewall" ist jedoch eher als Konzept zu bezeichnen, denn als eierlegende Wollmilchsau.

Wer sagt denn das es eine Eierlegene Wollmilchsau sein sollte? Meine Bisherige Firewall unter Windows hat lediglich die Aufgaben einer Firewall Uebernommen. MD5 hahses der Programme angelegt (damit man pruefen kann, ob es sich auch um dieses handelt) und dann den Zugriff fuer dieses Programm festgelegt IN/OUT, IP/Range, Protocol, Port, Allow/Deny.

Wer Angst vor Programmen hat, welche Kontakt zum Hersteller aufnehmen, der hat zudem gänzlich andere Probleme.

Aus diesem Grund ja auch die Firewall.

Und darüber hinaus vergißt derjenige, daß sich jede PFW leichtens innerhalb von Windows ausschalten läßt - Sicherheit ist da eher ein Glücksspiel.

Und wie, wenn ich fragen darf...

Und wer meint, mit dieser Art von Schlangenöl einem unixoiden System begegnen zu wollen, der hat definitiv nicht seine Hausaufgaben gemacht.

Ich hab ja oben ein paar Beispiele angesprochen, warum es auch auf unixoiden Systemen Sinnvol sein kann.

LG

 

[rudy]

Hallo,

da ich immer oefters von Linux/BSD Leuten lese, dass eine Application Firewall quatsch ist und ich als ex-Windows Nutzer es doch eigentlich sehr geschaetzt habe (Tiny Personal Firewall 2.15), wollte ich hier gern mal ueber deren Sinn bzw. Unsinn diskutieren.

Ich persoehnlich halte es fuer Sinnvol, zumindest auf einem Desktop System. Hier mal ein paar Gruende dafuer

+ Mit einer Application Firewall kann ich beispielsweise mal auf die schnelle eine Application vom Netz nehmen, was sehr praktisch sein kann
+ Genauso kann ich dann den Netzzugriff auf bestimmte Programme regulieren

+ Zudem kann ich bei closed source Anwendungen kucken, ob da nicht Jemand unbemerkt irgendwo hin telefonieren moechte (e.g.: wine Windows Applications oder generell closed source)


Also wie sehen die Gegner das?

Servus,

schau Dir doch einmal nachfolgendes Video an:

-----/ Chaosseminar: Personal Firewalls /------

# http://video.google.de/videoplay?docid=-9179940514495321914#

Cu

 

[Azazyel]

Und darüber hinaus vergißt derjenige, daß sich jede PFW leichtens innerhalb von Windows ausschalten läßt - Sicherheit ist da eher ein Glücksspiel.

Und wie, wenn ich fragen darf...

Was ich mit meinen rudimentären WIN32-Kenntnissen vor ein paar Jahren hingebracht habe:

1. wenn die PFW wegen der Internetverbindung nachfragt, einfach mittels WIN32-API und SendMessage() ein WM_OK an das Popup schicken - schon haben wir bestätigt, dass unser böses Programm alles ins Netz schicken darf
2. TerminateProcess() aus dem SYSTEM-Kontext lässt sich nicht abfangen (die meisten User sind sowieso als Administrator unterwegs)
3. per WIN32-API die Icons im System Tray abfragen, das PFW-Administrationsfenster öffnen und mit SendNotifyMessage einfach die Mausklicks zum Anhalten/Beenden simulieren und das Fenster wieder minimieren (am Bildschirm sieht man nichts davon)

Inzwischen probieren die PFW-Hersteller vieles davon per Kernel Hook abzufangen, aber auch das lässt sich umgehen. Die dort angeführten Techniken übersteigen aber meine Kenntnisse der Windows-Architektur.

Das grundlegende Problem ist und bleibt, dass man als aktuell angemeldeter User ja die Rechte hat, die PFW zu steuern, und das Schadprogramm (das im Kontext des aktuellen Users läuft) sie damit immer manipulieren bzw. beenden kann.

 

[lockdoc]

@rudy, Danke fuer den Tip, derweil blockt mich die chinesische Firewall vorm ankucken. Werd ich mir spaeter ankucken.

[*]wenn die PFW wegen der Internetverbindung nachfragt, einfach mittels WIN32-API und SendMessage() ein WM_OK an das Popup schicken - schon haben wir bestätigt, dass unser böses Programm alles ins Netz schicken darf

Also dieses Popup Fenster dient eigentlich nur der Eleichterung der Erstkonfiguration. Damit klatscht du alles in die Firewall, was erlaubt ist, danach ist der Rest auf "auto-dis-allow" und es kommen auch keine Popups mehr. Man wird sonst auch nur im workflow gehindert, wenn die ganze Zeit nervige Popups kommen

[*]TerminateProcess() aus dem SYSTEM-Kontext lässt sich nicht abfangen (die meisten User sind sowieso als Administrator unterwegs)

Also logged man sich einfach als user ein...

[*]per WIN32-API die Icons im System Tray abfragen, das PFW-Administrationsfenster öffnen und mit SendNotifyMessage einfach die Mausklicks zum Anhalten/Beenden simulieren und das Fenster wieder minimieren (am Bildschirm sieht man nichts davon)

Man sieht es aber, wenn die firewall nicht mehr an oder nicht mehr aktiv ist...

Also hier muessen schon andere Argumente her...

Das grundlegende Problem ist und bleibt, dass man als aktuell angemeldeter User ja die Rechte hat, die PFW zu steuern, und das Schadprogramm (das im Kontext des aktuellen Users läuft) sie damit immer manipulieren bzw. beenden kann.

Bei dem hier weiss ich jetzt nicht genau wie das laeuft. Wenn man seine Firewall fertig konfiguriert hat, dann braucht man doch auch keinen Zugriff mehr (jedenfalls nicht allzuoft, und fuer diesen fall koennte man schnell user-switch machen).

 

[rudy]

@rudy, Danke fuer den Tip, derweil blockt mich die chinesische Firewall vorm ankucken. Werd ich mir spaeter ankucken.

Man sieht es aber, wenn die firewall nicht mehr an oder nicht mehr aktiv ist...

Also hier muessen schon andere Argumente her...

Bei dem hier weiss ich jetzt nicht genau wie das laeuft. Wenn man seine Firewall fertig konfiguriert hat, dann braucht man doch auch keinen Zugriff mehr (jedenfalls nicht allzuoft, und fuer diesen fall koennte man schnell user-switch machen).

Also fast alle PFW laufen unter Windows auf der Kernel Ebene und diese kannst Du über die Dienste an oder abschalten....

netsh advfirewall set AllProfiles state off probiere das mal mit der Komandozeile aus......

So mit man sieht ob die Firewall eingeschaltet ist meinst Du sicher das Symbol in der Windows Taskleiste das Dir die gestarteten Programme anzeigt auch das lässt sich deaktivieren und zwar in der Art das Du zwar das Symbol siehst das Programm hingegen nicht aktiv ist....
Der Trick ist allerdings nicht neu wurde und wird mit JScript oder VB Script realisiert

# http://www.drwindows.de/windows-anleitungen-und-faq/15141-windows-7-dienste.html

So angenommen Du erstellst eine Regel im In sowie Outbound die besagt das der Internet Explorer halt Rechte bekommt so kann ein Angreifer den Browser über ein VB Script kapern und über den Scripthost das System angreifen..Den Script Host kannst Du direkt über den Browser ansprechen am besten mit VB Skript man braucht nicht den Umweg über Java Script zu gehen da dieses erst übersetzt werden muss hingegen VB Script sofort ausgeführt wird!
In den allermeisten Fällen ist der Windows Script Host immer aktiv da tief im System verankert eine Deaktivierung des Script Host geht auch nur eingeschänkt da Windows diesen zwingend benötigt. Mit dem Internet Explorer in der Version 4.0 fand der Script Host Einzug und wurde unter Win 98 in der zweiten Version und Windows NT 4.0 mit Servicepack 3 glaube ich mich noch zu erinnern Bestandteil des Kernels, auch in 2000 XP Vista und Win7 hat sich daran de facto nichts geändert.

# http://de.wikipedia.org/wiki/Windows_Script_Host

Die Vorgehensweise eines potentiellen Angreifers wäre es das VB Script in einen Inline Frame zu platzieren das Du dann an surfen würdest und schon würde die Aktion ausgeführt werden ohne das Deine PFW es merken würde denn Dein Browser hat ja nun mal die Rechte
Der Angreifer kann aber noch einen Schritt weitergehen und mit zunehmenden Wissen wird er das auch tun über ActveX Deine Firewall kapern denn ActiveX hat immer Vollzugriff bis hinunter auf die Kernel Ebene selbst als Admin bist Du da machtlos...

# http://de.wikipedia.org/wiki/ActiveX

Sogar die Update Funktion ist angreifbar da sie auch auf diese Komponenten setzt

So ganz gewiefte kompilierten Active X sogar für den Mac tja und die liefen da siehe obigen Verweis.....

In so einen Falle nutzt Dir auch die Beste PFW unter Windows genau gar nichts und erklärt auch den Fakt wie so viele Schadprogramme auf den Rechner kommen können trotz Firewall trotz Virenscanner.

CU aber schau Dir mal das Video an lohnt sich

Ergänzung

Vor Jahren gab es auch noch den Streit über das Jericho Konzept so hatte das noch in Erinnerung also den Namen und einen älteren Beitrag im Netz gefunden sehr lesenswert

# http://diepresse.com/home/techscience/internet/sicherheit/345917/Wenn-die-Firewalls-fallen

 

[lockdoc]

So mit man sieht ob die Firewall eingeschaltet ist meinst Du sicher das Symbol in der Windows Taskleiste das Dir die gestarteten Programme anzeigt auch das lässt sich deaktivieren und zwar in der Art das Du zwar das Symbol siehst das Programm hingegen nicht aktiv ist....
Der Trick ist allerdings nicht neu wurde und wird mit JScript oder VB Script realisiert

Also wenn die Firewall nicht aktiv ist meckert Windows von alleine rum, sofern man XP mit SP2 oder SP3 hat, da wo das Security Center mit dabei ist. Das merkt man dann schon

So angenommen Du erstellst eine Regel im In sowie Outbound die besagt das der Internet Explorer...

Wer Internet Explorer nutzt ist selber Schuld. Firefox, damit faellt VBScript und ActiveX weg.


Im Endeffekt soll mir die PF ja nicht den ultimalen Schutz bieten, sondern einfach nur verhindern, dass gewisse Programme nach Hause telefonieren.

Eine andere Sache, die manchmal benoetigt wird, ist einfach manchen Programmen (gutartige open Source Prograemmchen) den Hahn zum Internet abzudrehen, wegen der Performance. Ein Beispiel:

+ (1) Ich nutze Anki (ein Flashkartenprogramm), wenn ich neue Vokabeln hinzufuege, dann kuckt er in der eigenen DB nach der Uebersetzung, findet er diese nicht, wirft er google translate an und da das so ein Python Programm ist, raucht mir das manchmal weg. Unter windows konnte ich ihm einfach den Hahn zudrehen und gut ist. Unter BSD kann ich das derzeit nicht und muesste mich erstmal durch den source frickeln

+ (2) Eine weitere Sache ist beispiel HTML Emails:
Unter Windows habe ich Outlook nur erlaubt, die eigentlichen Ports zum empfangen und senden zu nutzen, kam eine HTML Email rein und wollte irgendwas nachladen wurde das von der Firewall nicht erlaubt. Ohne diese Funktion kann diese HTML Email kreuz und Quer im Internet bescheid sagen, dass ich das grade lese.

+ (3) Zusaetzlich kann ich durch sperren des Port 80 bei vielen Programmen einfach deren eingebaute Werbung unterdruecken, was ja auch ein Sicherheitsproblem darstellen koennte, falls die Werbung an sich infiltriert wird (als Beipiel: Skype oder Msn war das, wenn ich das richtig in Erinerung hatte).

 

[rudy]

Also wenn die Firewall nicht aktiv ist meckert Windows von alleine rum, sofern man XP mit SP2 oder SP3 hat, da wo das Security Center mit dabei ist. Das merkt man dann schon


Wer Internet Explorer nutzt ist selber Schuld. Firefox, damit faellt VBScript und ActiveX weg.


Im Endeffekt soll mir die PF ja nicht den ultimalen Schutz bieten, sondern einfach nur verhindern, dass gewisse Programme nach Hause telefonieren.

Eine andere Sache, die manchmal benoetigt wird, ist einfach manchen Programmen (gutartige open Source Prograemmchen) den Hahn zum Internet abzudrehen, wegen der Performance. Ein Beispiel:

+ (1) Ich nutze Anki (ein Flashkartenprogramm), wenn ich neue Vokabeln hinzufuege, dann kuckt er in der eigenen DB nach der Uebersetzung, findet er diese nicht, wirft er google translate an und da das so ein Python Programm ist, raucht mir das manchmal weg. Unter windows konnte ich ihm einfach den Hahn zudrehen und gut ist. Unter BSD kann ich das derzeit nicht und muesste mich erstmal durch den source frickeln

+ (2) Eine weitere Sache ist beispiel HTML Emails:
Unter Windows habe ich Outlook nur erlaubt, die eigentlichen Ports zum empfangen und senden zu nutzen, kam eine HTML Email rein und wollte irgendwas nachladen wurde das von der Firewall nicht erlaubt. Ohne diese Funktion kann diese HTML Email kreuz und Quer im Internet bescheid sagen, dass ich das grade lese.

+ (3) Zusaetzlich kann ich durch sperren des Port 80 bei vielen Programmen einfach deren eingebaute Werbung unterdruecken, was ja auch ein Sicherheitsproblem darstellen koennte, falls die Werbung an sich infiltriert wird (als Beipiel: Skype oder Msn war das, wenn ich das richtig in Erinerung hatte).

Denke daran das auch das Security Center auch nur einen Dienst darstellt in meinen Beispiel eines Angriffes bezog ich mich auch primär auf den Otto Normal User der die Standardkomponenten nutzt.

So aber den Host kannst Du durchaus auch mit Java Script ansprechen er übersetzt das dann in JScript dauert nur unwesentlich länger.

Für meinen Teil bevorzugte ich seinerzeit das Monitoring in Echtzeit gibt da sehr gute Tools von Sysinternal die sind derart gut das Microsoft komplett die ganze Firma aufgekauft hatte und deren Inhaber als Sicherheitschef einstellte.

HTML Mails sind generell ein Sicherheitsrisiko da kannst Du auch den Taschenrechner und Solitaire mit starten oder den Explorer mit aufrufen und und und unter Windows

CU

 

[lockdoc]

So aber den Host kannst Du durchaus auch mit Java Script ansprechen er übersetzt das dann in JScript dauert nur unwesentlich länger.

Warum sollte man das koennen? Das waere doch ein massives Sicherheitsproblem des Browsers...

Zudem scheint mir das ein wenig an der "Sinn und Unsinn von PF" vorbeizugehen.
Wenn man einen Browser kapert, dann ist es ja egal ob man eine PF hat oder nicht.

Eine PF dient imho einerseits der Kontrolle der Zugriffsrechte anderer Programme und bietet einen zusaetzlichen Schutz des Systems, natuerlich keinen 100%-igen.

Wenn jetzt ein System eingenommen ist, dann ist es ja eh schon zu spaet (da hilft nur noch Norten Antivirus ).

 

[jmt]

Ich finde die Diskussion sehr lustig. Was bringt denn für die hier genannten Szenarien eine dedizierte Firewall? Im Regelfall ist für einen Windows-Rechner (oder mit welchem man auch sonst arbeitet) Port 80 freigeschaltet und damit kann jede bösartige Software ganz einfach ins Internet. Einen Schutz auf Application-Level bietet eine dedizierte Firewall nicht.

 

[Athaba]

HTML 5 bringt da sicherlich einiges an Lücken mit sich, aber es ist eben immer eine Abwägung. Bei PFs ist das auch nicht so anders. Dienste/Daemonen und komplexen Frameworks, die die Sicherheit erhöhen sollte man generell skeptisch gegenüberstehen. Die werden auch mal zu einem Angriffsvektor. Vor allem in gezielten Angriffen, wo getrennt betrachtet alles sicher erscheinen mag kann man Seiteneffekte von solchen Systemen häufig missbrauchen.

 

[jmt]

Prinzipiell dienen dedizierte Firewalls der Abwehr von Angriffen von außen. Die hier diskutierten Szenarien sind aber allesamt Angriffe von innen. Hier kann eine PF in der Tat nützlich sein, wenngleich sie gezielten Angriffen eher hilflos ausgeliefert ist. Bleibt also nur der Zweck zur Anonymisierung.
Steht der Rechner direkt im Internet, so ist eine PF nur eine Notlösung, da bei einer Kompromittierung der der Firewall nicht nur der Angriff von innen erfolgreich ist, sonder auch der Schutz von außen verloren geht.

 

[McStarfighter]

Eine Personal Firewall wie man sie aus dem Windows-Bereich kennt, soll eine Sicherheit bringen, die das OS an sich selbst einfach nicht kann (zumindest ist es dem Normaluser nicht möglich): Rechte fein granulieren und damit aufs nötigste beschränken. Das können diese PFWs aber nicht, die bringen IMHO nur eine Scheinsicherheit.
Unter Linux und *BSD kann man so ziemlich jede Applikation dermaßen "einsperren", daß ein Schaden durch diese vermieden werden kann. Und den Rest macht iptables & Co. ...

 

[jmt]

Unter Linux und *BSD kann man so ziemlich jede Applikation dermaßen "einsperren", daß ein Schaden durch diese vermieden werden kann. Und den Rest macht iptables & Co. ...

Aber von solchen chroot-Umgebungen machen leider die Wenigsten Gebrauch.

 

[lockdoc]

Ich finde die Diskussion sehr lustig. Was bringt denn für die hier genannten Szenarien eine dedizierte Firewall? Im Regelfall ist für einen Windows-Rechner (oder mit welchem man auch sonst arbeitet) Port 80 freigeschaltet und damit kann jede bösartige Software ganz einfach ins Internet. Einen Schutz auf Application-Level bietet eine dedizierte Firewall nicht.

Port 80 ist nur fuer bestimmte Programme freigeschaltet, dass ist ja der Sinn einer Personal Firewall. Also Beispielsweise darf mein IE6 auf Port 80 raus, alles andere aber nicht

 

[McStarfighter]

Aber von solchen chroot-Umgebungen machen leider die Wenigsten Gebrauch.

Das ist ja das Traurige ... Und unter Windows gibts gleiches (nun ja zumindest als Container) nur in Form von Parallels Virtuozzo Container for Windows. Mit mindestens 2000 Euro Kosten dafür ...

Da gabs doch sogar vor nicht allzu langer Zeit eine Vorführung, die man mit Fedora 15 (geht auch mit RHEL 6.x) und SELinux ne Applikation sowas von einkapselt, daß kein Platz mehr links und rechts davon ist ... Ich finde nur grad absolut die Info nicht im WWW ...

 

[lockdoc]

Das ist ja das Traurige ... Und unter Windows gibts gleiches (nun ja zumindest als Container) nur in Form von Parallels Virtuozzo Container for Windows. Mit mindestens 2000 Euro Kosten dafür ...

Hat VMWare nicht auch so eine Loesung um einzelne Programme abgeschottet laufen zu lassen

 

[McStarfighter]

Hat VMWare nicht auch so eine Loesung um einzelne Programme abgeschottet laufen zu lassen

Du meinst wohl VMware ThinApp. Das ist aber was, um Portables zu erstellen, nicht um Rechte besser zu steuern. Na gut, jede "ThinApp" hat ihre eigene Sandbox, aber die ist nur zur Vermeidung von Applikationskonflikten wie z.B. der DLL-Hölle ...

 

[kith]

bitte verschiebt virtualisierungsthemen in einen eigenen thread. hier geht es um personal firewalls.