Startseite


Communities: 
  • Hardware-FAQ
  • Diskussionsforen
  • RC5-72 Projekt
  • RC5-Proxy
  • Forenarchiv

  • Warum Desktop-Firewalls nix taugen

    Wieder mal fängst Du dir einen Virus und wieder mal bist Du enttäuscht, dass die Mauern deiner Burg zum Einsturz gebracht wurden. Viele Internetnutzer glauben, mit Firewall und Virenscanner seien sie sicher. Aber Stimmt das? Hier erfährst Du mehr...

    Eine Desktop-Firewall (folgend. DFW) soll im Wesentlichen vor zwei Dingen Schützen:

    - Programmzugriffe auf das Internet
    - Zugriffe auf den eigenen Rechner

    Zuerst die am Häufigsten gestellten Fragen

    Welche Firewall ist die Beste?
    Gute Frage...Keine! Welche DFW die Beste ist kann man so nicht sagen. Es kommt immer auf die jeweilige Situation an. Vorab: Keine Firewall ist wirklich sicher, wenn sie nicht physikalisch vom Surfenden Rechner getrennt ist.

    Was ist eine Firewall?
    Als Firewall bezeichnet man ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen. Ein oft benutztes Instrument der Umsetzung ist ein Stück Hardware, das zwei physisch getrennte Netzbereiche genau so verbindet, wie es im Konzept zugelassen wird.

    Eine Software Firewall ist nicht viel anders, außer dass sie sich eben auf dem entsprechenden Rechner der Online geht befindet. Das Problem hier dran ist das ein intelligenter Trojaner per Code die DFW abschalten kann, was der Bedeutung "Surfen ohne DFW" gleichkäme. Einige DFW's enthalten zudem noch einen Proxy zur Filterung von Pop-Ups und Cookies.

    Ich hab eine Desktop-Firewall, bin ich jetzt sicher?
    Nein. Ohne ein Konzept was vor wem geschützt werden soll ist eine Firewall eher unsicher. Eine DFW kann Dir helfen mehr über sein System zu lernen, aber ohne weiteres macht sie dein System nicht sicherer. Eine Firewall, welche nicht anständig konfiguriert ist, wiegt den Anwender in falscher Sicherheit. Wenn man meint der PC sei Bombensicher, aber er ist es nicht, ist die Enttäuschung um so größer, wenn dann doch was passiert. Und so geht es vielen die blind auf geschriebene Texte von diversen Magazinen vertrauen.

    Worin besteht der Unterschied zwischen einer Hardware- und einer Software-Firewall?
    Fast alle Hardware-Firewalls basieren auf Software, die nur auf einer speziell ausgewählten Hardware läuft. Die eigentlichen Vorteile dieser speziellen Hardware sind:

    a) nur erprobte Geräte mit gut getesteten Treibern können verwendet werden und
    b) es gibt keine fehleranfällige Festplatte.

    Der erste Punkt beseitigt Sicherheitsrisiken durch einen verkleinerten Code. Der Zweite erklärt sich wohl selbst ;)

    Anderseits sind Software-Firewalls dank des höheren Marktdrucks aktueller und haben mehr Features. (Längerfristige Bindung bei Hardware.) Der Nachteil besteht in einer höheren Fehlerquote in der größeren Codebasis.

    Schließlich gibt es noch Hardware-Firewalls ohne Software. Diese nutzen physikalische Effekte aus. Beispielsweise genügen "2 cm Luft", um einen PC vor Netzangriffen zu schützen. ;)

    Wie kann ich mich unsichtbar machen?
    Um "unsichtbar" zu sein, müsstest Du mit der IP-Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.

    Merke: Bei ICMP ist keine Antwort gleich "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router, der steht bei Deinem Provider und Du hättest keine Internetverbindung.


    Einige Beispiele zur Umgehung von DFW's

    1.) Bei einem Anwender wurde im Temp-Verzeichnis eine HTML-Datei gefunden die einige Bilder aus dem Netz lädt. Die Bild URL's bestanden zum Teil aus Dateinamen, welche man unter [Start -> Dokumente] findet.
    Unter Umgehung der Firewall baut RealPlayer auf diese Weise eine Verbindung mit dem Net auf, auch wenn der "normale" Zugriff gesperrt wird.

    C:\Dokumente und Einstellungen\*Benutzer*\Lokale Einstellungen\Temp\RN8163.htm

    Hierbei wurde nach folgendem Schema anonymisiert:
    Zahlen = 0, Großbuchstaben = X, Kleinbuchstaben = x

    2.) Da sich Spyware selten als solche ausgibt, schlägt die Firewall Meldungen an wie:

    ieexplore.exe versucht eine Verbindung aufzubauen. Zulassen? (Hierbei handelt es sich nicht um den Internet Explorer, dieser heißt iexplore.exe)
    svhost.exe versucht eine Verbindung aufzubauen. Zulassen? (Hierbei handelt es sich nicht um den svchost, auch wenn man das auf den ersten Blick meint. Selbiges gilt für syshost)

    Selbiges kommt mit der Meldung "Windows", "Zonelarm" oder sonst was ebenfalls vor.


    Mittlerweile gibt es auch Scripts, die ohne weiteres eine DFW ausschalten und/oder einfach eine Zugriffsregel erstellen können. Da das Programm auf Rechnern mit nur einem Nutzer dieselben Zugriffsrechte wie die DFW hat, kann eine solche Script euren Rechner so offen wie ein Scheunentor machen. Wenn eine DFW geschlossen wird, bleibt i.d.R. das Symbol dieser im Tray, bis man mit der Maus drüber fährt. Heißt also bei Leuten die den Rechner 24/7 laufen haben, das sie potenziell gefährdet sind, da sie es erst mal gar nicht mitbekommen.

    Zudem ist es möglich die DFW durch ein ähnlich aussehendes Programm zu ersetzen, indem man den Treiber-Aufruf der Registry löscht und den Aufruf des User-Frontends, durch den Programmpfad des Scripts ersetzt. Um neue Nutzer-Regeln in die DFW einzufügen reichen in den Meisten fällen sogar "Eingeschränkte Benutzerrechte", also ein "Nicht-Administrativer-Account".

    Siehe hierzu:

    www.heise.de/newsticker/data/pab-18.05.01-001
    my-forum.netfirms.com/zone/zcode.htm

    Zudem gibt es noch Programmcodes, welche überhaupt nicht auf das Internet zugreifen. Ein Beispiel ist ein virenscannender Trojaner, welcher auch tatsächlich andere Viren finden und vernichten kann, jedoch zusätzlich für Buchstaben-/ Zahlendreher in Word & Excel sorgt.

    Bugs, falsche Einstellungen und die zu oft vorkommenden Sicherheitslücken in Browsern und Mail-Clients, vor allem im Internet Explorer und Outlook Express, bieten die Top Zugriffschance auf den heimischen Rechner. Gegen Bugs kommt die DFW nur dann an wenn der Hersteller das Problem kennt, wogegen bei Sicherheitslücken fast alle DFW's machtlos sind. Meist ist vom Hersteller des Browsers aber kurze zeit nachdem der Bug / die Sicherheitslücke entdeckt wurde schon ein Patch erschienen, der das Manko behebt (Siehe Microsoft IE).

    Ebenfalls gute Einstiegspunkte sind Fehler in der Druckerfreigabe (Konfiguration) von Windows. Bei dieser muss man darauf achten, dass diese nur für das Netzwerk, nicht jedoch das Internet, aktiviert wird. Ansonsten stellt diese eine nicht zu unterschätzende Gefahr dar.

    Häufig kommt es auch vor, dass man sich unbewusst über Mail-Anhänge, ActivX-Elemente, JavaScript oder in falschem Vertrauen eine Software installiert. Wenn das passiert ist jede DFW machtlos, da die Datei welche die DFW ändern und umkonfigurieren kann, sich schon auf dem System befindet. Die DFW kann dazu gebracht werden dem schädlichen Programm freien Zugriff auf's Internet zu geben oder aber es baut eine Verbindung auf, und wartet auf einen Befehl (remote).

    Fazit:
    Da es ziemlich einfach ist eine DFW zu umgehen oder abzuschalten, kann man auch ohne Surfen, der Sicherheitsaspekt ist nicht viel anders. Für den Fall, dass die Druckerfreigabe falsch konfiguriert ist oder man dem falschen Programm genug vertrauen schenkte um es zu installieren, kann eine DFW durchaus ein Stück zur Systemsicherheit beitragen.

    Da es aber noch 1000 andere Sachen außer der genannten gibt, kann man sich auf eine DFW nicht verlassen. Du hast eine DFW und einen Virenscanner, und glaubst du seist sicher....starte nur einmal das falsche Programm. Zudem bin ich mir nicht mal sicher ob DFW's vertrauenswürdig sind... immerhin sind es meist "Closed-Source"-Produkte

    Wer dennoch meint, unbedingt eine DFW benutzen zu wollen / müssen, sollte mal folgenden Link testen:

    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

    Hier kann man anhand diverser Punkte feststellen, welche am Besten für die jeweilige Situation geeignet ist.

    Nicht vergessen: Eine DFW ist nicht = Sicher!!!

    Fragen zum Artikel könnt ihr hier stellen.


    Artikel von Rashka

    Quellen:
    Hackerboard.de
    IKS-Jena.de
    google.de




    Alle Angaben wie immer ohne Gewährleistung !
    © 2001-2016 Alle Rechte vorbehalten. Mit Urteil vom 12. Mai 1998 - 312 O 85/98 - "Haftung für Links" hat das Landgericht (LG) in Hamburg entschieden, dass man durch die Anbringung eines Links, die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Dies kann - so das LG - nur dadurch verhindert werden, indem man sich ausdrücklich von diesen Inhalten distanziert. Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller gelinkten Seiten auf unseren Foren.