megacarsit
Goto Top

Personal Firewall toll oder unfug?

Hallo Leute!!

Ich hab eine Frage... was denkt Ihr über Personal Firewalls (besonders in Firmen)??

Sygate fand ich damals ja noch halbwegs akzeptabel doch Zone Alarm und
die Windows Firewall emptfinde ich eher als schlechten Scherz....
Bei der Windows Firewall kann man es wohl über die Sicherheitsrichtlinien steuern?!


Ich Frage weil mein Dozent auf Personal Firewalls ständig darauf rumreitet....


Gruss,
megacarsIT

Content-ID: 110235

Url: https://administrator.de/forum/personal-firewall-toll-oder-unfug-110235.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

dog
dog 01.03.2009 um 01:16:10 Uhr
Goto Top
Personall Firewalls sind Müll - Punkt - Und die Windows Firewall führt hier ganz klar das Feld an.

Zuhause schaltet sie jeder User spätestens nach der 5. Meldung "Explorer.exe versucht auf Port 52342 auf 217.123.83.21 Port 8001 zuzugreifen - Wollen Sie das erlauben?" ab oder klickt auf "Immer Zulassen" - damit hat sich der Schutz bereits erledigt.
Wie soll ein User auch erkennen, ob sein PC grade versucht sich mit einem Botnetz zu verbinden?

Und in Firmen sind sie praktisch für jedes Problem verantwortlich (bezieht sich auf die Probleme, die man hat, wenn sie aktiv sind) ;)

Abgesehen davon - vor was sollen die dich schützen?

Vor den berüchtigten Angriffen aus dem Internet schützt dich der NAT-Router.
Vor unvorsichtigen Usern und Halbwissenden, die gerne auf jede .exe in einer E-Mail klicken und ohne 1337haaxt00l.exe nicht arbeiten können schützt dich ein Proxy-Server mit integrierter AV, ein Mailfilter mit AV und Antispam und eine Sicherheitskonfiguration, die es Usern verbietet Programme auszuführen.
Vor Mitarbeitern die gerne mal ihr eigenes virenverseuchtes Laptop mitbringen schützt dich ein Switch mit MAC-Kontrolle (besser: VPN) und drakonische Strafen.
Nur eins musst du sicherstellen: Wenn du mit alle dem anfängst muss dein Netzwerk natürlich auf dem neusten Updatestand sein (das sollte es ohnehin immer) und du musst sicher sein, dass sich nicht schon etwas eingeschlichen hat.

Nicht zu letzt darfst du eins nicht vergessen: Personal Firewalls erhöhen technisch gesehen die Angriffsfläche eines PCs, da eben jeder Traffic durch sie durchgeht. Ist in der Firewall-Software also ein Exploit vorhanden ist es für einen Hacker sehr viel leichter...


Aber das sind nur meine Zwei Cent als Personal-Firewall-Hasser

Grüße

Max
StefanKittel
StefanKittel 01.03.2009 um 01:30:36 Uhr
Goto Top
Hallo,

personal Firewalls, in dem aktuellen Enwicklungsstand, sind unnütz und machen nur Ärger.

Eine Firewall soll 2 Dinge tun. Eingehenden und ausgehenden Traffic filtern bzw. ablehnen

Eingehender Traffic: Ein NAT-Router filterert ja schon alles weg. Das was überbleibt, ist der interne Traffic und da reicht die Windows-Firewall aus, bzw. die Nachteile überwiegen.

Ausgehenden Traffic: Der Windows-Firewall geht vieles durch die Lappen, aber der effektive Nutzen bei einer besseren ist quasi gleich Null.
Ich kenne mich recht gut mit Netzwerkprotkollen aus, aber die Frage einer Firewall "rundll32 versucht auf Port 12345 auf IP 123.123.123.123" zuzugreifen. Wollen Sie dies erlauben?" kann ich nicht beantworten. Wie sollte also ein User das können. Entweder klickt man dann immer auf Ja, dann kann man sich die Firewall sparen, oder immer auf Nein, dann dauert es nicht lange bis irgendwas nicht mehr geht.

Sonstige Nachteile sind vielfältige Fehlfunktionen innerhalb des Netzwerkes, wenn die Firewall mal wieder der Meinung war, dass irgendwas böse wäre.
Da die meisten Programme sehr schlechte Kommunikationsfunktionen haben, bekommt man dann Fehler wo man sehr lange für die Fehleranalyse braucht.
Beispiel gefällig? Meldung von Lexware beim buchen! Sonst geht alles! "Zugriff verweigert (Der Vorgang wurde fehlerfrei ausgeführt)" mit einem "OK" darunter.

Außerdem reduzieren Sie die Geschwindigkeit des PCs teilweise recht deutlich.

Versteht mich nicht falsch. Eine funktionieren Firewall, die Informationen verständlich aufbereitet, so dass man auf die Frage auch wirklich eine Antwort geben könnte, halte ich für Sinnvoll. Aber sowas habe ich bis jetzt nicht gesehen und ich glaube, dass es sowas unter Windows auch nicht geben wird/kann.

Dann müßte die Meldung so heißen.
Programm Lexware Buchhalter versucht Daten an einen Server der Lexware GmbH zu übertragen. Wollen Sie dies zulassen?
Details:
Programm: c:\programme\Lexware Buchhalter\LxUpdater.exe
Unterstützr: rundll32.dll
Server update.lexware.de (123.123.123.123 Port 80)

Stefan
spacyfreak
spacyfreak 01.03.2009 um 06:05:40 Uhr
Goto Top
Da hat natürlich jeder so seine "Meinung", kommt immer drauf an wen man frägt.

Unternehmens-Netze (Intranet) mit zig tausend Benutzern sehe ich nicht als wesentlich "sichereres" Terrain an als das Internet.
Jeder "mitgebrachte" Notebook das ans LAN angestöpselt wird kann einen Wurm einschleusen (und tut dies gelegentlich auch).

Ich weiss nicht wie Leute dazu kommen zu behaupten die Windows Firewall würde nichts taugen.
Sie "hätte" vor jedem bekannten Wurm und üblichen Netzangriffen geschützt wenn sie aktiv gewesen wäre.
Mit netsh Befehlen kann man sie auch gut via Script konfigurieren.
http://technet.microsoft.com/en-us/library/cc728285.aspx

Jeden Tag kann ein neuer Wurm kommen, und jeder PC im LAN der "zufällig" nicht gepatcht ist (und das kann keiner garantieren dass jeder PC im LAN jederzeit aktuell gepatcht ist..) hat binnen dem Bruchteil einer Sekunde eine Infektion.
Bei tausenden Rechnern macht das unglaubliche Kosten und führt zu Produktionsverlust.
Server für die ich zuständig bin schütze ich stets mit einer lokalen Firewall und öffne nur das was unbedingt notwendig ist.
Warum eine grosse Angriffsfläche bieten, nur aus Bequemlichkeitsgründen?

Daher finde ich eine Personal Firewall grundsätzlich notwendig. Man sollte sich nicht der Illussion hingeben, nur weil man IT-Security Policies auf dem Papier hat wäre das Intranet "sicher". Das war es nie und wird es nie sein.
spacyfreak
spacyfreak 01.03.2009 um 06:10:33 Uhr
Goto Top
Nicht zu letzt darfst du eins nicht vergessen: Personal Firewalls
erhöhen technisch gesehen die Angriffsfläche eines PCs, da
eben jeder Traffic durch sie durchgeht. Ist in der Firewall-Software
also ein Exploit vorhanden ist es für einen Hacker sehr viel
leichter...

Also weil "eventuell" eine Personal Firewall einen Bug haben "könnte" sollte man schon im Voraus keine verwenden? Das gab es relativ selten - Fälle wo die Firewall jedoch vor irgendwas schützt gibt es jedoch fast täglich.
Weil mein Autogurt eine Fehlfunktion haben könnte sollte ich mich präventiv nicht anschnallen?

Be Personal Firewalls die ausgehenden Traffic sperren gebe ich dir recht - das war beispielsweise bei der Zone Alarm recht nervig, der User ist von solchen Meldungen überfordert und sie interessieren ihn auch nicht. Den eingehenden Traffic zu filtern ist jedoch nützlich um vor allem vor "Day Zero" Angriffen (neuer Wurm) zu schützen die es regelmässig gibt.
Suffer1981de
Suffer1981de 01.03.2009 um 09:26:18 Uhr
Goto Top
Ich denke auch das eine Personal Firewall relativ gut schützen kann, wenn man sie denn richtig konfiguriert hat. Eine Aussage wie "Wollen Sie das erlauben?" ab oder klickt auf "Immer Zulassen" kann bei einer vernünftig konfigurierten Firewall im Firmennetz nicht passieren. Ich gebe dem User nämlich gar nicht die Möglichkeit das zu tun.

Alle Ports die ich brauche sind darüber schon freigegeben und die anderen dürfen meine Kollegen gar nicht benutzten. Fertig.

Ich denke aber, daß je nach Größe des Unternehmens eine PF nicht den Schutz bietet, den man braucht.

Viele PF kann man gezielt durch Overflow zum Absturz bringen etc, da ist es natürlich besser eine Hardwarefirewall zu verwenden. Ist halt eine Frage der Finanzen.

MfG
spacyfreak
spacyfreak 01.03.2009 um 09:53:01 Uhr
Goto Top
Viele PF kann man gezielt durch Overflow zum Absturz bringen etc, da
ist es natürlich besser eine Hardwarefirewall zu verwenden. Ist
halt eine Frage der Finanzen.


Ist eine Frage der Wahrscheinlichkeit - es ist viel wahrscheinlicher dass ein pc der nicht durch PF geschützt ist einen Wurm einfängt, als dass einer im internen Netz sich mit Angreifbarkeiten der PF beschäftigt und diese gezielt angreift. Wobei das zwar je nach Unternehmenskultur vorkommen kann - jedoch wohl eher die Ausnahme darstellt.
maretz
maretz 01.03.2009 um 10:01:28 Uhr
Goto Top
Gut - ich reihe mich mal in der Anti-PF-Reihe ein.

Teils sind die Punkte ja schon genannt worden: Meldungen sind kryptisch und damit für User nahezu unverständlich.

Nehmen wir jetzt mal den Punkt "Laptop mit Wurm" unter die Lupe. Ok - die direkte Infektion vom Laptop aus wird gestoppt. Allerdings: Was passiert wenn der Wurm (mal wieder) das Outlook-Adressbuch mitnimmt und dann via Outlook (oder anderem Standard-Mailprog) die Mail mitsenden will? Die Mail geht jetzt von nem Kollegen raus - an die eigenen Kollegen. Erfahrungsgemäß (und ich mache den Job auch schon ein paar Tage länger) werden 90% der User schonmal gucken "Ah, den kenn ich, und der Anhang 'Lustig.exe'" wird bedenkenlos geöffnet - wobei Lustig.exe auch durch beliebige andere Namen ersetzt werden kann). Damit ist der Wurm jetzt auf dem nächsten PC - und versucht sich dort bei aktiver Firewall weiterzusenden. Die PF fragt jetzt "Soll outlook.exe der Zugriff auf Port (SMPT oder MAPI) erlaubt werden?". Wenn der User nicht eh schon auf "Ja" drückt (klar, Outlook kenn ich, der macht nix böses) dann rufte er ggf. noch in der EDV an. Und je nach häufigkeit dieser Anrufe passiert es schnell das er von dort aus "Klar, Outlook möchte deine Mail senden - klick auf Ja/Immer erlauben" hört. So - und mit diesem Klick haben wir ne ganze Reihe ausgelöst:
a) der Wurm darf Outlook freundlich für alles nutzen
b) Je nach Funktion von "Lustig.exe" kann die Personal-Firewall jetzt auch nen "Patch" enthalten der allen Netzwerktraffic mitpackt. Oder die Firewall wird komplett umgangen/deaktiviert - der User glaubt also noch an Schutz und hat nix mehr

Allerdings: Wer meint etwas ist schrott - der sollte auch immer einen besseren Vorschlag haben. Dies wäre auch bei mir der vorgeschalte Router. Die Verbindungen können dort (sofern das nen halbwegs gutes Gerät ist - oder z.B. ein Linux-Router) direkt mit einer Firewall auf dem Router gesteuert werden. Auf der Firewall wird jedoch nix anderes geöffnet - damit können dort auch keine Programme die Firewall direkt umkonfigurieren (ganz davon abgesehen das die Firewall selbstverständlich eher selten mit root-Rechten bedient wird). Weiterhin gibt es hier keinen User der mal eben unbedarft auf "Ja, mach scho hin" klickt - dafür fehlen gleich die Rechte. Und wenn man seine Server schützen möchte - so kann man die gleich noch zusätzlich hinter nen 2ten Port der Firewall hängen - und schon hat man auch da keine Sorgen mehr...

Einziger Nachteil an der Router-Lösung: Die ist weder Transportabel noch "umsonst". Wenn man sich nen 20-Euro-Router kauft so wird der keine ernsthafe "Innen->Aussen"-Firewall haben, da is meist nach nen paar Port-Forwards schluss... Aber: Sicherheit gibts nunmal nicht umsonst - und bei den meisten Heimanwendern wäre eine komplexere Router-Firewall auch (leider) vergebens - da die nunmal nicht einfach nur "Ja/Nein"-Klicken beinhalten sondern Wissen über Netzwerke und Ports vorraussetzen...
ITwissen
ITwissen 01.03.2009 um 12:57:05 Uhr
Goto Top
Ueblicherweise laesst die Unternehmensfirewall nur von einem Rechner SMTP nach aussen und das ist der offizielle Mailserver. An diesen muss sich der User mit seinem Mailprogramm authentifizieren.

Damit gehen keine Wurm/Spam/Sonstwas Mails im Namen der Firma raus.

Wer das anderst eingestellt hat, ist selber Schuld face-smile
DerWoWusste
DerWoWusste 01.03.2009 um 22:46:33 Uhr
Goto Top
Filterung von ausgehendem Verkehr ist weiterhin nahezu unmöglich, wenn sich ein Schädling auf dem Rechner befindet, der nicht eben ungeschickt ist. Mit Vista wurde dies eingeführt - was Microsofts Securityexperte Steve Riley davon hält, kannst Du hier sehen: http://www.microsoft.com/emea/spotlight/sessionh.aspx?videoid=352 - Abschnitt „outbound controls“ (25:37-30:00). Dies gilt prinzipiell für jede Firewall, die sich auf dem zu schützenden System selbst befindet. Und eingehender Verkehr ist entweder erwünscht oder wird eh vom Router abgefangen bzw. an der Unternehmenshardwarefirewall, dafür braucht man ebensowenig eine Softwarefirewall.
spacyfreak
spacyfreak 07.03.2009 um 16:14:28 Uhr
Goto Top
Und eingehender Verkehr ist
entweder erwünscht oder wird eh vom Router abgefangen bzw. an der
Unternehmenshardwarefirewall, dafür braucht man ebensowenig eine
Softwarefirewall.

In einem Enterprise Intranet mit zig tausend Clients oder einem Campus Netzwerk ist das Intranet nicht als sicherer zu betrachten als das Internet selbst.
Und ins Internet klinkt man sich ja auch nicht ohne Personal Firewall, ausser es ist einem egal oder der Rechner lauscht eh auf keinen Ports, was aber so gut wie nie vorkommt, ausser man weiss genau was man macht.
ITwissen
ITwissen 07.03.2009 um 17:35:59 Uhr
Goto Top
Für den Sysadmin von 100en von Clients ist sind Personal Firewalls die Hölle, vor allem, wenn die Benutzer die Kontrolle darüber haben (Stichworte: Fernwartung, Automatische Updates, Application Deployment, ...).

Besonders in einem Enterprise Netzwerk gibt es besser Möglichkeiten als Personal Firewalls. Da sind keine SOHO Netzwerkkomponenten im Einsatz, sonder richtige Geraete, die auch "böse Pakete" automatisch Filtern. Die Netzwerktopologie laesst sich da auch entsprechend Planen, dass die Risiken minimiert sind.

Ich kenn aber auch Sysadmins, die auf PF schwören. Allerdings haben mich deren Argumente bisher nicht überzeugt.

Gute Virenscanner sind meiner Ansicht nach effektiver.

Eventuell lass ich mich noch bei "vagabundierenden" Laptops von der Notwendigkeit einer PF ueberzeugen.