Personal Firewall toll oder unfug?

Hallo,

personal Firewalls, in dem aktuellen Enwicklungsstand, sind unnütz und machen nur Ärger.

Eine Firewall soll 2 Dinge tun. Eingehenden und ausgehenden Traffic filtern bzw. ablehnen

Eingehender Traffic: Ein NAT-Router filterert ja schon alles weg. Das was überbleibt, ist der interne Traffic und da reicht die Windows-Firewall aus, bzw. die Nachteile überwiegen.

Ausgehenden Traffic: Der Windows-Firewall geht vieles durch die Lappen, aber der effektive Nutzen bei einer besseren ist quasi gleich Null.
Ich kenne mich recht gut mit Netzwerkprotkollen aus, aber die Frage einer Firewall "rundll32 versucht auf Port 12345 auf IP 123.123.123.123" zuzugreifen. Wollen Sie dies erlauben?" kann ich nicht beantworten. Wie sollte also ein User das können. Entweder klickt man dann immer auf Ja, dann kann man sich die Firewall sparen, oder immer auf Nein, dann dauert es nicht lange bis irgendwas nicht mehr geht.

Sonstige Nachteile sind vielfältige Fehlfunktionen innerhalb des Netzwerkes, wenn die Firewall mal wieder der Meinung war, dass irgendwas böse wäre.
Da die meisten Programme sehr schlechte Kommunikationsfunktionen haben, bekommt man dann Fehler wo man sehr lange für die Fehleranalyse braucht.
Beispiel gefällig? Meldung von Lexware beim buchen! Sonst geht alles! "Zugriff verweigert (Der Vorgang wurde fehlerfrei ausgeführt)" mit einem "OK" darunter.

Außerdem reduzieren Sie die Geschwindigkeit des PCs teilweise recht deutlich.

Versteht mich nicht falsch. Eine funktionieren Firewall, die Informationen verständlich aufbereitet, so dass man auf die Frage auch wirklich eine Antwort geben könnte, halte ich für Sinnvoll. Aber sowas habe ich bis jetzt nicht gesehen und ich glaube, dass es sowas unter Windows auch nicht geben wird/kann.

Dann müßte die Meldung so heißen.
Programm Lexware Buchhalter versucht Daten an einen Server der Lexware GmbH zu übertragen. Wollen Sie dies zulassen?
Details:
Programm: c:\programme\Lexware Buchhalter\LxUpdater.exe
Unterstützr: rundll32.dll
Server update.lexware.de (123.123.123.123 Port 80)

Stefan

Da hat natürlich jeder so seine "Meinung", kommt immer drauf an wen man frägt.

Unternehmens-Netze (Intranet) mit zig tausend Benutzern sehe ich nicht als wesentlich "sichereres" Terrain an als das Internet.
Jeder "mitgebrachte" Notebook das ans LAN angestöpselt wird kann einen Wurm einschleusen (und tut dies gelegentlich auch).

Ich weiss nicht wie Leute dazu kommen zu behaupten die Windows Firewall würde nichts taugen.
Sie "hätte" vor jedem bekannten Wurm und üblichen Netzangriffen geschützt wenn sie aktiv gewesen wäre.
Mit netsh Befehlen kann man sie auch gut via Script konfigurieren.
http://technet.microsoft.com/en-us/library/cc728285.aspx

Jeden Tag kann ein neuer Wurm kommen, und jeder PC im LAN der "zufällig" nicht gepatcht ist (und das kann keiner garantieren dass jeder PC im LAN jederzeit aktuell gepatcht ist..) hat binnen dem Bruchteil einer Sekunde eine Infektion.
Bei tausenden Rechnern macht das unglaubliche Kosten und führt zu Produktionsverlust.
Server für die ich zuständig bin schütze ich stets mit einer lokalen Firewall und öffne nur das was unbedingt notwendig ist.
Warum eine grosse Angriffsfläche bieten, nur aus Bequemlichkeitsgründen?

Daher finde ich eine Personal Firewall grundsätzlich notwendig. Man sollte sich nicht der Illussion hingeben, nur weil man IT-Security Policies auf dem Papier hat wäre das Intranet "sicher". Das war es nie und wird es nie sein.

Also weil "eventuell" eine Personal Firewall einen Bug haben "könnte" sollte man schon im Voraus keine verwenden? Das gab es relativ selten - Fälle wo die Firewall jedoch vor irgendwas schützt gibt es jedoch fast täglich.
Weil mein Autogurt eine Fehlfunktion haben könnte sollte ich mich präventiv nicht anschnallen?

Be Personal Firewalls die ausgehenden Traffic sperren gebe ich dir recht - das war beispielsweise bei der Zone Alarm recht nervig, der User ist von solchen Meldungen überfordert und sie interessieren ihn auch nicht. Den eingehenden Traffic zu filtern ist jedoch nützlich um vor allem vor "Day Zero" Angriffen (neuer Wurm) zu schützen die es regelmässig gibt.

Ich denke auch das eine Personal Firewall relativ gut schützen kann, wenn man sie denn richtig konfiguriert hat. Eine Aussage wie "Wollen Sie das erlauben?" ab oder klickt auf "Immer Zulassen" kann bei einer vernünftig konfigurierten Firewall im Firmennetz nicht passieren. Ich gebe dem User nämlich gar nicht die Möglichkeit das zu tun.

Alle Ports die ich brauche sind darüber schon freigegeben und die anderen dürfen meine Kollegen gar nicht benutzten. Fertig.

Ich denke aber, daß je nach Größe des Unternehmens eine PF nicht den Schutz bietet, den man braucht.

Viele PF kann man gezielt durch Overflow zum Absturz bringen etc, da ist es natürlich besser eine Hardwarefirewall zu verwenden. Ist halt eine Frage der Finanzen.

MfG

Ist eine Frage der Wahrscheinlichkeit - es ist viel wahrscheinlicher dass ein pc der nicht durch PF geschützt ist einen Wurm einfängt, als dass einer im internen Netz sich mit Angreifbarkeiten der PF beschäftigt und diese gezielt angreift. Wobei das zwar je nach Unternehmenskultur vorkommen kann - jedoch wohl eher die Ausnahme darstellt.

Gut - ich reihe mich mal in der Anti-PF-Reihe ein.

Teils sind die Punkte ja schon genannt worden: Meldungen sind kryptisch und damit für User nahezu unverständlich.

Nehmen wir jetzt mal den Punkt "Laptop mit Wurm" unter die Lupe. Ok - die direkte Infektion vom Laptop aus wird gestoppt. Allerdings: Was passiert wenn der Wurm (mal wieder) das Outlook-Adressbuch mitnimmt und dann via Outlook (oder anderem Standard-Mailprog) die Mail mitsenden will? Die Mail geht jetzt von nem Kollegen raus - an die eigenen Kollegen. Erfahrungsgemäß (und ich mache den Job auch schon ein paar Tage länger) werden 90% der User schonmal gucken "Ah, den kenn ich, und der Anhang 'Lustig.exe'" wird bedenkenlos geöffnet - wobei Lustig.exe auch durch beliebige andere Namen ersetzt werden kann). Damit ist der Wurm jetzt auf dem nächsten PC - und versucht sich dort bei aktiver Firewall weiterzusenden. Die PF fragt jetzt "Soll outlook.exe der Zugriff auf Port (SMPT oder MAPI) erlaubt werden?". Wenn der User nicht eh schon auf "Ja" drückt (klar, Outlook kenn ich, der macht nix böses) dann rufte er ggf. noch in der EDV an. Und je nach häufigkeit dieser Anrufe passiert es schnell das er von dort aus "Klar, Outlook möchte deine Mail senden - klick auf Ja/Immer erlauben" hört. So - und mit diesem Klick haben wir ne ganze Reihe ausgelöst:
a) der Wurm darf Outlook freundlich für alles nutzen
b) Je nach Funktion von "Lustig.exe" kann die Personal-Firewall jetzt auch nen "Patch" enthalten der allen Netzwerktraffic mitpackt. Oder die Firewall wird komplett umgangen/deaktiviert - der User glaubt also noch an Schutz und hat nix mehr

Allerdings: Wer meint etwas ist schrott - der sollte auch immer einen besseren Vorschlag haben. Dies wäre auch bei mir der vorgeschalte Router. Die Verbindungen können dort (sofern das nen halbwegs gutes Gerät ist - oder z.B. ein Linux-Router) direkt mit einer Firewall auf dem Router gesteuert werden. Auf der Firewall wird jedoch nix anderes geöffnet - damit können dort auch keine Programme die Firewall direkt umkonfigurieren (ganz davon abgesehen das die Firewall selbstverständlich eher selten mit root-Rechten bedient wird). Weiterhin gibt es hier keinen User der mal eben unbedarft auf "Ja, mach scho hin" klickt - dafür fehlen gleich die Rechte. Und wenn man seine Server schützen möchte - so kann man die gleich noch zusätzlich hinter nen 2ten Port der Firewall hängen - und schon hat man auch da keine Sorgen mehr...

Einziger Nachteil an der Router-Lösung: Die ist weder Transportabel noch "umsonst". Wenn man sich nen 20-Euro-Router kauft so wird der keine ernsthafe "Innen->Aussen"-Firewall haben, da is meist nach nen paar Port-Forwards schluss... Aber: Sicherheit gibts nunmal nicht umsonst - und bei den meisten Heimanwendern wäre eine komplexere Router-Firewall auch (leider) vergebens - da die nunmal nicht einfach nur "Ja/Nein"-Klicken beinhalten sondern Wissen über Netzwerke und Ports vorraussetzen...

Ueblicherweise laesst die Unternehmensfirewall nur von einem Rechner SMTP nach aussen und das ist der offizielle Mailserver. An diesen muss sich der User mit seinem Mailprogramm authentifizieren.

Damit gehen keine Wurm/Spam/Sonstwas Mails im Namen der Firma raus.

Wer das anderst eingestellt hat, ist selber Schuld

Filterung von ausgehendem Verkehr ist weiterhin nahezu unmöglich, wenn sich ein Schädling auf dem Rechner befindet, der nicht eben ungeschickt ist. Mit Vista wurde dies eingeführt - was Microsofts Securityexperte Steve Riley davon hält, kannst Du hier sehen: http://www.microsoft.com/emea/spotlight/sessionh.aspx?videoid=352 - Abschnitt „outbound controls“ (25:37-30:00). Dies gilt prinzipiell für jede Firewall, die sich auf dem zu schützenden System selbst befindet. Und eingehender Verkehr ist entweder erwünscht oder wird eh vom Router abgefangen bzw. an der Unternehmenshardwarefirewall, dafür braucht man ebensowenig eine Softwarefirewall.

Und eingehender Verkehr ist

In einem Enterprise Intranet mit zig tausend Clients oder einem Campus Netzwerk ist das Intranet nicht als sicherer zu betrachten als das Internet selbst.
Und ins Internet klinkt man sich ja auch nicht ohne Personal Firewall, ausser es ist einem egal oder der Rechner lauscht eh auf keinen Ports, was aber so gut wie nie vorkommt, ausser man weiss genau was man macht.