nächstes Treffen

Peter Voigt peter.voigt1 at gmx.net
Mi Okt 28 11:08:44 CET 2009 

On Tue, Oct 27, 2009 at 08:42:33PM +0000, A. Dreyer wrote:

> > Solche Software erhöht schlichtweg die Angriffsfläche von Windosrechnern.
> 
> Diese Aussage halte ich für recht zweifelhaft. Einerseits ist dies ein
> Stück Software mehr das Probleme bereiten kann, andererseits bietet
> Win$ows von Hause aus eine recht große Angriffsfläche und durch eine
> aktuelle und "vernünftig" konfigurierte Desktop-Firewall wird diese
> (zumindest nach außen hin) reduziert.
> [[Natürlich wäre besser man könnte unbenötigte Dienste einfach abschalten.]]

Nur ein einzelner Link zu diesem Thema:
http://www.team-cauchy.de/personal/

Diese Frage berührt mich weniger, weil keiner meiner Windos-Rechner mit dem 
Internet verbunden ist. Mir ging es darum, das vorgeschlagene Thema zu 
präzisieren:

Es geht um hidden firewalls, nicht um personal firewalls. 
  
Beide unterscheiden sich in wesentlichen Punkten:

(1)  Personal firewalls gibt es nur auf Windos-Rechnern.

(2)  Personal firewalls dienen anderen Zwecken, enthalten andere/weitere Funktionen
und sind technisch anders aufgebaut als hidden firewalls.

(3)  Der Nutzen von personal firewalls ist in Fachkreisen umstritten.

(4)  Hidden firewalls verfügen über ein technisch interessantes Alleinstellungs-
merkmal, nämlich der fehlenden IP-Adresse, was im praktischen Betrieb mehrere 
Vorteile erzeugt.

> > Der Nutzen solcher "personal firewalls" ist im Fachkreisen umstritten. Viele
> > Fachleute halten den Einsatz solcher Software für kontraproduktiv. Der im diesem 
> > Themenkreis versierte CCC e.V. rät von ihrem Einsatz ab. Stattdessen schlägt 
> > der CCC andere Maßnahmen zur Absicherung von Winlosrechnern vor.
> 
> Umstritten ja. Den letzten Satz würde ich gerne präzisiert haben:
> - sagt der CCC man solle andere Maßnahmen *anstelle* von
> Desktop-Firewalls einsetzen?
> - meint der CCC man solle *zusätzlich* andere Maßnahmen vornehmen?

Der CCC präzisiert seine Haltung in seiner Sicherheits-FAQ und verweist auf eine
weitere Firewall-FAQ:

http://ccc.de/faq/security?language=de#internet
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Im Kern sehe ich keinen Widerspruch zu Deinen Aussagen.

> > Ihr technischer Vorteil besteht darin, keine IP-Adresse zu verwenden, 
> > so dass sie im Netz quasi unsichtbar bleiben. Deshalb kann man sie gar nicht
> > direkt angreifen. Hidden firewalls vermeiden das Problem, die Angriffsfläche
> > der zu schützenden Rechner zu erhöhen.
> 
> Nein. Es sei denn du würdest vor jeden Netzwerk-Rechner eine bridging FW
> hängen.. 

Um meinen Standpunkt zu verdeutlichen:

Hidden firewalls vermeiden das Problem, die Angriffsfläche zu erhöhen. Obwohl 
der Firewall-Rechner als weiteres denkbares Angriffsziel ins Netzwerk gestellt 
wird, wird der Angriffsvektor gegen das betroffene Netzwerksegment mit allen 
seinen Rechnern nicht nennenswert erhöht, weil direkte Angriffe gegen den 
Firewall-Rechner ohne IP-Adresse kaum möglich sind. 

Damit ist keine Aussage darüber verbunden, ob die Rechner *hinter* der Firewall
ausreichend geschützt sind. Die Aussage beschränkt sich darauf, festzustellen,
dass der Schutz gegenüber Angriffen, die aus dem Netzsegment *vor* der Firewall
herrühren, verbessert wird, ohne gleichzeitig sicherheitstechnische Nachteile 
wegen des Einsatzes einer Firewall in Kauf nehmen zu müssen. Sicherheitstechnisch
betrachtet bekommt man die Vorteile einer hidden firewall so gut wie umsonst.

Falls Interesse besteht, komme ich gerne zu Lug Herford, um eine hidden firewall
vorzuführen und eine weitergehende Diskussion anzustossen.

pv

Mehr Informationen über die Mailingliste Lugrav