OpenBSD gegen M$+ZoneAlarm

Herakles

Profifragensteller
Moin moin!

Heute saß ich mit einem Kumpel im Auto und wir kamen auf das Thema Netzwerksicherheit zu sprechen. Er ist Computernutzer auf Anwenderebene, hat noch nie programmiert, bisher immer nur Windows genutzt und weiß nicht, wie TCP/IP geschrieben wird. Ein ganz alltäglicher "Otto-Normal-Nutzer" ohne technische Ambitionen.

Irgendwann fragte er mich: "Wozu soll ich denn so ein OpenBSD zwischen meinen Internetrouter und meinen Laptop bauen? Ich hab' doch ZoneAlarm und Norton AntiVir installiert?"

Was zum Geier antworte ich denn darauf?

1. Jede Firewall kann nur so sicher sein, wie das System auf dem sie läuft und da ist Windows bekanntermaßen nunmal nicht die beste Wahl.

2. OpenSource Software kann schneller auf Bugs reagieren und Bugs können schneller gefunden werden, weil eine größere Entwicklergruppe daran arbeitet bzw. Zugriff darauf hat. Ein Fehler in ZoneAlarm kann mitunter wochenlang unentdeckt bleiben und durch versierte Cracker ausgenutzt werden.

So, seitdem ich den 2. Punkt hingetippt habe, sind jetzt schon 10 Minuten vergangen und mir fällt kein weiterer Grund ein. Wie sind Eure Ideen zu dieser Frage? Was würdet Ihr antworten? Und sind meine Gedanken zu dem Thema überhaupt zutreffend?

Viel Spaß beim Überlegen und (hoffentlich) angeregten Diskutieren.

Herakles
 
Das sind ja mal komplett verschiedene Dinge. Ganz davon abgesehen das dieser Term "Firewall"... nunja BuzzWord!

Filtert "deine" OS Firewall anhand der Anwendungen und ist für Endanwender so komfortable, dass man mit einem Klick sagen kann: Jabber.exe darf ins Internet, trojaner.exe darf nicht?
Kann die Endanwenderlösung effektiv ein ganzes Netzwerk auf bestimmten Ports abschotten und/oder andere Ports umleiten und/oder bestimmten Rechnern dieses und jenes erlauben?

Es kommt immer darauf an was man möchte. Ich glaube kaum das dein Kumpel eine vollwertigen Portfilter bei sich zu hause stehen haben sollte. Warum auch, er könnte ihn ja eh nicht konfigurieren!
Ich würde nicht versuchen ihn davon zu überzeugen das eine opensource "Firewall" sinnvoller ist, sondern seinen Blick dafür schärfen was ein solches Produkt kann und wie man es sinnvoll einsetzt!

Güße!
 
Nur mal so am Rande ohne in irgend eine Richtung bashen zu wollen:

Was soll denn die OpenBSD-Firewall zwischen Router und Laptop filtern? Gibt es überhaupt Billigrouter ohne NAT? Was für eingehenden Traffic hat man denn? Willst du ausgehenden filtern?

Irgendwie erschließt sich mir nicht ganz der Sinn der Filterung von Paketen, die ohnehin durchgelassen werden, weil jemand surft... Der Rest sollte bereits am Router hängenbleiben?!

Gruß
 
Nur mal so am Rande ohne in irgend eine Richtung bashen zu wollen:

Was soll denn die OpenBSD-Firewall zwischen Router und Laptop filtern? Gibt es überhaupt Billigrouter ohne NAT? Was für eingehenden Traffic hat man denn? Willst du ausgehenden filtern?

Irgendwie erschließt sich mir nicht ganz der Sinn der Filterung von Paketen, die ohnehin durchgelassen werden, weil jemand surft... Der Rest sollte bereits am Router hängenbleiben?!

Gruß

dito.
Auf Anwenderebene sehe ich (hinter einem Router) eh keinen Bedarf an einer Firewall - ob Windows, Linux oder sonstwas.
 
Moin moin!

Zunächst mal DANKE! an MrMarv, Deine Antwort hat mein Denken in eine andere Richtung gelenkt. Die Idee, von der Warte aus zu argumentieren, hatte ich noch nicht.

@Columbo & juan:
Meine Frage ging dahin, dass mir jemand sagt "wozu soll ich mir einen Router dahinstellen - mit welchem Betriebssystem auch immer - wenn ich auch direkt mit meinem Rechner ins Internet komme?". Der Kumpel ist mit seinem Rechner direkt an seinem Internet-Telekom-DSL-wasweißich-Modem an die Leitung geklemmt. Nix Router, nix gar nix.

Er fragte eben einfach danach, wieso er sich generell was Absicherndes dahinstellen sollte, warum er eben nicht einfach so ins Internet gehen sollte, sondern sich absichern sollte - in meinem Vorschlag eben durch eine OpenBSD-pf-Kiste als geschlossenes "Einfalltor" gegen das Rauschen des Internet.

Zusammengefasst - warum sollte er mit einem Windows/Linux/mir-egal-was Rechner nicht direkt ins Internet gehen, obwohl er dort Programme wie ZoneAlarm laufen hat? Gebt mir Gründe, wieso ich ihm einen Router dahinstellen sollte (ob nun OpenBSD oder sonstwas, schließlich sind wir hier im "Plauder-Forum")? Welchen Vorteil kann ich ihm nennen, den so eine Kiste seiner bisher genutzen Lösung voraus hat?

Ich hoffe, ich konnte meine Gedanken konkretisieren.

Herakles
 
Personal Firewalls haben in der Vergangenheit immer wieder mit Sicherheitslücken geglänzt und konnten oft genutzt werden um Systeme mit Viren zu infizieren. Außerdem nerven die Dinger so, dass man sich schnell angewöhnt auf OK zu klicken ohne zu prüfen was da los ist.
 
Irgendwann fragte er mich: "Wozu soll ich denn so ein OpenBSD zwischen meinen Internetrouter und meinen Laptop bauen? Ich hab' doch ZoneAlarm und Norton AntiVir installiert?"

Der Kumpel ist mit seinem Rechner direkt an seinem Internet-Telekom-DSL-wasweißich-Modem an die Leitung geklemmt. Nix Router, nix gar nix.
Das konnte ich mir aus dem Ausgangspost nicht erschließen... ;)

Die Hauptargumente sind mE schon gefallen. Hinzufügen könnte man noch, dass bei einer Warnung der zB Zonealarm-Firewall der "Angriff" etc. bereits am Zielrechner ist. Erkläre es einfach mit Zaun/Haus. Bei einer Routerlösung bleibt alles am Zaun hängen. Filtert er nur am "Zielrechner", prasselt alles auf die Hauswand ein. Bis irgendwann etwas ankommt, was das Loch in der "Hausmauer" findet (Fehler in der Firewall/Betriebssystem). Den ganzen Rotz kann man sich doch vom Hals halten...
 
Mein Fehler - war gestern Abend wohl schon zu schlaftrunken, als ich das schrieb.

Also: FEHLER im Originalpost. Da ist kein Router! :)
 
ich blockiere tatsächlich den Port 25 daheim, bis auf die Zielhosts meiner genutzten Mailserver. Desweiteren sind stellenweise NAT Regeln wenn ich von unterwegs einen Port von daheim benötige.
Außerdem wird ein- und ausgehend Traffic mit den Netzen Asiens in meinem Paketfilter aufgehalten.
Wenn mal 'Gäste' zu Besuch in meinem WLAN sind, müssen sie außerdem das Captive Portal überwinden
 
Erzähl ihm doch einfach mal, wie sich Sasser und Blast (Lovesan) verbreitet haben. Das wäre für mich Grund genug, einen Rechner mit potenziell anfälligen offenen Diensten nicht direkt ins Internet zu hängen. Man kann zwar SMB, RPC & Co. deaktivieren - mit Freigaben im eigenen Netz ist's dann aber auch vorbei... und bei M$ kann man sich nie sicher sein, dass das nächste Update solche Einstellungen nicht wieder überschreibt.

Ach ja, und ein Virenscanner schützt vor solchen Schädlingen natürlich auch nur dann, wenn das Signaturupdate kam, bevor der erste Kandidat an den Port klopft. Personal Firewalls hingegen halte ich unbedingt für ausgemachten Blödsinn - sie schützen IMO nicht zuverlässig gegen Lücken, die Windows von außen angreifbar macht. Und als Outbound-Filter gegen eingefallene Schädlinge - na ja, als wenn ein Wurm, der von außen ins System eindringen kann, nicht in der Lage wäre, neben dem Virenscanner auch Zonealarm gleich mit zu deaktivieren...
 
Moin herakles,

also man kann es auch ganz einfach darstellen und zwar das die Windowsplattform sich am meisten lohnt anzugreifen. Mal ein Beispiel pro Tag auszug:

http://www.netzeitung.de/internet/sicherheit/1306538.html

Meines bescheidenen Wissens nach gibt es derzeit 2 Viren in the wild für unixoide Betriebssysteme und selbst diese zwei richten kaum Schaden an im Gegensatz zu den zig Viren für Windows....

Dann [1] Zombierechner auch hier führen Windowsrechner im BotNetzwerk.......

Alles Gründe dafür unixoide Betriebssysteme einzusetzen vor allen und gerade im Internet

Bis denne

[1] http://www.n-tv.de/incoming/Riesiges-Botnetz-entdeckt-article80891.html
 
Das Problem ist nur, dass die normalen Anwender nicht den Überblick haben und den Vorteil sehen können.

Wenn du Zone Alarm und einen Virenscanner installiert hast, ist der Rechner sicher. Zumindest solange nichts passiert ;)

Ich surfe eigentlich immer ohne Virenscanner und habe manchmal die Firewall von Windows aktiviert, zumeist aber auch deaktiviert. Aktuelle Patches und browsen mit Firefox sowie adblock macht schon extrem viel aus. Wenn ich fünf Virenbefälle innerhalb der letzten zehn Jahre hatte, dann ist das schon viel.

Für mich gilt immer: Es geht rein gar nichts über Vorsicht und Wissen um Trojaner, Viren und Co.
 
Dem DAU die Vorteile eines Paketfilters zu erklären, ist meiner Meinung nach recht sinnfrei. Ihm fehlt im Normalfall einfach der Überblick und das technische Know-How um deine Argumente überhaupt zu verstehen.

Das einzige was hier hilft ohne zu weit ins technische abzudriften, ist sein Bewusstsein für etwas zu schärfen, was er noch nicht wahrnimmt. Beispiele wie mit dem oben genannten Zaun und der Hauswand gehen in diese Richtung. Da gibt es sicher noch jede Menge anderer Bilder, die dem Anwender auf einfache Art und Weise bewusst machen, dass ihr PC daheim nichts weiter ist als der altmodische Schreibtisch der früher im verschlossenen Arbeitszimmer stand und heute dank Internet für jeden weltweit zugänglich ist. Argumente die verständlich sind für Menschen die mit Technik nichts am :huth: haben.

Ob es nun eine wartungsintensive OpenSource-Lösung sein muss, oder der Billigrouter vom Discounter sei mal einfach dahingestellt und darüber würde ich auch nicht diskutieren wollen. Der DAU muss erst mal ein Bewusstsein dafür entwickeln, welche Daten sensitiv sind und wie man ihm mit dem Wissen um seine sensitiven Daten schaden kann. Als Schlagwörter nenne ich mal private Fotos, die Steuererklärung, Korrespondenz mit der Krankenkasse, Kontoabrechnungen und was man sonst so alles auf einem Rechner finden kann.

MfG
morph
 
Eine Sache die einem Windows-User auch schon weiter helfen kann (kein Ersatz für eine Firewall, aber gegen Schädlinge beim Surfen):
http://www.sandboxie.com
Ein sehr geniales Tool und man muß da auch als DAU nicht viel verstehen, da alles nach der Installation Out-of-the-box funktioniert.
 
Was soll denn die OpenBSD-Firewall zwischen Router und Laptop filtern?

Wenn es dort wirklich nur Router, Firewall und Notebook gibt macht es eigendlich keinen Sinn.

Sieht die Konfiguration jedoch wie folgt aus, macht er meiner Ansicht nach durchaus Sinn.

Code:
www---router---lan1---firewall/router---lan2

LAN1 wäre dann z.B. für Gäste, die ins Internet dürfen jedoch nicht ins "lokale" Netz. Oder als DMZ für irgendwelche nach außen sichtbaren Server.
 
Erkläre es einfach mit Zaun/Haus. Bei einer Routerlösung bleibt alles am Zaun hängen. Filtert er nur am "Zielrechner", prasselt alles auf die Hauswand ein....

Hallo,

ich denke eher die Datenpakete per default ins Haus kommen und dann den Besitzer fragen ob Sie dürfen oder nicht. Der Kernel bekommt die Pakete zugestellt und entscheidet dann JA/NEIN.

Bei dem Beispiel fällt mir dann immer die Geschichte ein mit den beiden Trickbetrügern die Versuchen einer alten Dame etwas aufzuschwatzen. Wärend der eine redet macht der andere....

Gruß ré
 
Hallo,

ein Windows PC der im privaten Umfeld genutzt wird ist folgendermaßen relativ gut abzusichern.

  • Aktueller Virenscanner
  • Automatische Windows-Updates
  • Arbeiten als Benutzer und nicht als Administrator,
  • Aktueller Browser
  • Aktivieren des Windows eigenen Paketfilters (Firewall) sowie evtl. benutzung des Paketfilters im nat-router sofern vorhanden
  • KEINE unsichere software aus unsicheren Quellen installieren.

Ein 08/15-nat-router oder ein natlösung auf OpenBSD-Basis macht zusätzlich sicherlich sinn, z.B. um massive sicherheitslücken oder fehlkonfiguratio nen abzufangen, zumal, subjektiv, geschwindigkeit und bequemlichkeit beim benutzen des internets zunehmen.

Ob OpenBSD-Nat-Lösung oder 30-eur billig router ist dabei denke ich fast vollkommen egal - aufgrund des dtl. geringeren installations und warungsaufwandes würde ich in dem Fall eher auf die billig-router-lösung zurückgreifen. Das eingesetze OpenBSD müsste man ja auch permament aktuell halten und ab und an die konfiguration anpassen e.t.c.

Mehr ist eigentlich nicht erforderlich meiner meinung nach! Insb. "Firewalls" ala Zonealarm erhöhen nur die menge ausgeführten codes, und eine Zusätzliche OpenBSD Firewall macht das ganze komplexer und erhöht damit auch die chance etwas potentiell unsicher zu konfigurieren.

Eine weitere Möglichkeit könnte es sein den Rechner komplett vom internet zu trennen und nur noch http durch eine proxylösung zu erlauben mit zus. virenscanner e.t.c. - imho aber für einen homenutzer ziemlicher overkill, zumal man für icq, spiele e.t.c. das alles wieder aufweichen müsste.
 
Zuletzt bearbeitet:
Ich stimme CommanderZed bis auf den Virenscanner zu. Den kann man sich für gewöhnlich Sparen und das Geld dafür und/oder die Ressourcen am Rechner sinnvoller verwenden. Die Erklärung hierfür spare ich mir jetzt mal. Aber überlegt mal wann so ein Virenscanner Sinn macht, was für ein Sicherheitskonzept dahinter steht und dann das ganze im Zusammenhang mit jemanden, der keine allzu große Erfahrung mit Computern hat. Er ist für gewöhnlich aus technischer Sicht Unsinn und führt zusätzlich noch zu einem falschen Sicherheitsgefühl.

Zu dem Thema will ich schon seit einer Weile einen größeren Text schreiben, weil ich das sehr oft erkläre, nur habe ich derzeit andere Prioritäten.

Bei der Firewall ist das natürlich Anders, allerdings bringt sich die eher was, wenn man sich wirklich auskennt. Viele, die sich einigermaßen mit Computern auskennen argumentieren mit Trojanern, vergessen allerdings das der natürlich auch Client spielen kann und sich seine Befehle von einem Server holen kann. Da hilft eine normal bis gut konfigurierte Firewall wenig. Die Angriffe auf den privaten Windows-Rechner sind ohnehin meist so, dass eine Firewall wenig bringt wenn man die von CommanderZed genannten Punkte befolgt.

Bring dem User lieber die wichtigsten Punkte und Common Sense bei, bevor du ihm mit Firewalls kommst.

Gruß,
Athaba
 
Hallo Athaba,

bezüglich Virenscanner muß ich Dir widersprechen. Den halte ich für unverzichtbar, sofern der Rechner nicht vollkommen abgeschottet von der Außenwelt ist. Es ist heute leider so, daß auch "vollkommen vertrauenswürdige Quellen" zu Virenschleudern mutieren können. Ich hab schon von Pfarrämtern und Architektenbüros Disketten u. e-mails mit hochgradig infektiösem Inhalt gekriegt. Da kannst Du dich noch so vorsehen, ohne aktuellen Virenscanner hast Du dann nur die Wahl auf die Informationen zu verzichten oder das Risiko einzugehen. Das in jedem Fall ein Restrisiko bleibt und man sich dessen bewußt sein sollte ist klar. Oft genug stellt aber der Virenscanner auf dem Desktop die letzte Verteidigungslinie dar, die verhindert, daß dein PC selbst mutiert.
Es ist kein hundertprozentiger Schutz, das ist klar, aber er reduziert dein Risiko und das Risiko andere zu schädigen ganz erheblich.
 
Solange man keine Daten von innen hereinlässt (also andere Rechner im eigenen Netz oder USB-Sticks, Disketten etc.) kann man sich sehr gut ohne Virenscanner helfen.

Aber sobald gänzlich unbekanntes kommt, ist sowas fast unerlässlich, das stimmt!
 
Solange man keine Daten von innen hereinlässt (also andere Rechner im eigenen Netz oder USB-Sticks, Disketten etc.) kann man sich sehr gut ohne Virenscanner helfen.

Aber sobald gänzlich unbekanntes kommt, ist sowas fast unerlässlich, das stimmt!
Das Internet ist gänzlich unbekannt. Ich hatte schon einige Rechner, die hinter einer bzw. 2 Firewalls (wenn man die Windowseigene dazu rechnet) durch bloßes surfen sich Viren eingefangen hatten. Man erinnere sich alleine an die durch eingeblendete Werbung verbreiteten Viren (war das nicht Falk?). Bevor ich mir dann einen "Adblock" hole, installiere ich mir doch lieber einen Virenscanner und sichere somit auch andere Fehler des Betriebssystemes zumindest einigermaßen, oder?
 
Das Internet ist gänzlich unbekannt. Ich hatte schon einige Rechner, die hinter einer bzw. 2 Firewalls (wenn man die Windowseigene dazu rechnet) durch bloßes surfen sich Viren eingefangen hatten. Man erinnere sich alleine an die durch eingeblendete Werbung verbreiteten Viren (war das nicht Falk?). Bevor ich mir dann einen "Adblock" hole, installiere ich mir doch lieber einen Virenscanner und sichere somit auch andere Fehler des Betriebssystemes zumindest einigermaßen, oder?

Kann man machen. Ich komm ohne Virenscanner hervorragend klar und surfe zu 90% mit Windows im Netz. Im Endeffekt macht's die Mischung aus Erfahrung und Schutzmaßnahmen.
 
Kann man machen. Ich komm ohne Virenscanner hervorragend klar und surfe zu 90% mit Windows im Netz. Im Endeffekt macht's die Mischung aus Erfahrung und Schutzmaßnahmen.
Zum einen kannst du mit Erfahrung nichts gegen Fehler in Software oder gegen Dinge machen, die auf "seriösen" Seiten passieren, zum anderen geht es Herakles um einen "DAU"... ;)
 
Noch mal zum Virenscanner:

Zu erst einmal erkennt er nur bekannte Viren. Ich weiß, es gibt heuristische Scans, aber die sind sehr bescheiden. Das ist die größte Einbuße gegenüber anderen Möglichkeiten zur Sicherung.

Außerdem dauert die kritische Verbreitung oft nur Stunden oder vielleicht ein paar Tage. So oft updatet der Scanner aber nicht so oft und sobald der Virus mal drauf ist kannst du deinen Scanner in die Tonne stopfen, weil ich ihn nicht mehr vertrauen würde.

Viele Viren haben selbst-modifizierenden Code und somit dauert es zumindest länger bis es Einträge in Virendatenbanken gibt.

Wenn ich wissen will, ob eine Datei einen Virus mit sich führt, ich also der Quelle nicht vertraue gibt es zumindest drei Wege, die mir eine höhere Sicherheit bieten:
Es gibt Websites die es erlauben Dateien mit einer Vielzahl von Virenscannern zu kontrollieren. Da kann ich mir relativ sicher sein, dass der Scanner up to date ist, funktioniert (ud nicht von einem Virus deaktiviert wurde) und vor allem, dass nur mein Scanner den Virus nicht erkennt. Außerdem spart es Geld.
Virtualisierung als Schutzschicht verwenden. Entweder komplette Systeme oder Programme, wie Sandboxie, die das Programm quasi in einem Jail ausführen.
Noch besser ist es wirklich nur vertrauenswürdige Software auszuführen. Wer sagt übrigens, dass ich dem Scanner vertrauen kann?

Virenscanner können übrigens auch Lücken aufreißen. Viele installieren Services, die als Administrator laufen. Außerdem erhöhen sie die Komplexität eines Systems.

Virenscanner wirken, wenn überhaupt zu spät. Die Chance, dass sie ebenfalls befallen/deaktiviert werden ist relativ groß während sie aber nur die bekannteren Viren abfangen. Wenn man nicht alles anklickt, nicht als Administrator rumläuft, ungebrauchte Services deaktiviert und sich auch sonst anständig verhält funktionieren viel mehr Viren als der Scanner findet erst gar nicht. Ich habe hier zwei anständig konfigurierte Windowssysteme, die beide täglich von Leuten genutzt werden und eines davon läuft immer als Administrator. Es sind XP-Systeme, die ca. einmal im Jahr mit diversen Virenscannern, die von LiveCDs laufen geprüft werden. Das Administrator-System hatte seine Windowsinstallation 2003 und seit dem wurde noch kein einziger Virus gefunden, auch nicht mit Heuristiken. Es ist immer alles so sensibel wie möglich gestellt und es werden immer mindestens drei verschieden Virenscanner verwendet.

Den Aufwand betreibe ich vor allem um meine Aussagen über Virenscanner zu bekräftigen und deshalb bin ich sehr genau.

Ich verwende allerdings NoScript und Spybots "Immunisieren"-Funktion. Im Gegenzug dazu lasse ich auf keinen der Systeme die Funktion zur Blockierung von attackierenden Websites aktiviert.

Sicherheit ist einfach eine Wissens-/Erfahrungssache. Man muss die DAUs aufklären, da führt kein Weg d'rum 'rum. So doof Windows Vista auch sonst sein mag, es ist ein wichtiger Schritt weg von "Alles als Admin erledigen". Leider gibt es dann aus allen Richtungen den Tipp wieder alles als Admin zu machen.

Wer will kann ja einen Virenscanner drauf tun, aber wer das wirklich als Sicherheitsfeature sieht und die wirklich wichtigen Dinge außer Acht lässt sollte lieber jemanden Beauftragen, der Ahnung davon hat und aufhören so fahrlässig zu agieren.

Für den Anfänger wären zwei Dinge gut: Ein anständiges Handbuch, das _zuerst_ gelesen wird und Software mit guter Standardkonfiguration, wo man möglichst viel wissen muss, um sie zu ändern. Wobei die Standardkonfiguration das Wichtigste und Sinnvollste wäre. Ich weiß, das ist nichts, was so einfach von Heute auf Morgen geht, aber es ist wirklich wichtig.

Die Diskussion zeigt aber schon, dass die gute Konfiguration des System vorrangig ist. Über die Details (Firewall, Scanner) kann man sich sicherlich streiten, aber ein unerfahrener User soll sie eben nehmen wenn er will. Nur muss ihm einfach klar gemacht werden, dass das alles nichts hilft wenn alles Andere offen ist. Die Vergleiche mit Häusern, Burgen, Bunkern, etc. gehen da immer ganz gut.

[1] wenn ich Viren schreibe meine ich übrigens die Wurm-Hybriden. Malware betrifft ja alles mögliche und ist damit auch nicht das richtige Wort. Wo wir schon bei Virenscannern sind...
 
Also die Thesen zum Thema Virenscanner halte ich für gewagt. Ich betreibe einen Mailserver mit Virenscanner (ClamAV) und schaue mir regelmäßig an, was der so rausfischt. Ihr glaubt gar nicht, wie viel altes Gewürm da immer noch angekrochen kommt; es also immer noch haufenweise Rechner geben muss, die mit 2 - 5 Jahre alten Würmern verseucht sind. Das müsste ja nun wirklich nicht sein; jeder halbwegs aktuelle Scanner (selbst Tools wie Stinger o. ä.) erkennen diesen Mist längst mühelos und könnten weitere Neuinfektionen problemlos verhindern.
 
Zurück
Oben