n�chstes Treffen

[A. Dreyer]

Hallo Peter,

Da ich an dem Treffen nicht teilnehmen kann, dennoch am Thema
interessiert bin w�rde ich einige Punkte hier mal zur Diskussion stellen...


> Als "personal firewall" werden �blicherweise Firewalls bezeichnet, welche
> Desktop-User auf ihren Winlosrechnern installieren.
...
> Diese Software ist kompliziert und fehleranf�llig. Immer wieder wird auf
> heise.de �ber erfolgreiche Angriffe gegen Winlosrechner mit solcher Soft-
> ware berichtet, manchmal sogar mit lachhaften Auswirkungen (Stichwort: 
> Update des Virenscanners l�dt Backdoor).
> 
> Solche Software erh�ht schlichtweg die Angriffsfl�che von Winlosrechnern.

Diese Aussage halte ich f�r recht zweifelhaft. Einerseits ist dies ein
St�ck Software mehr das Probleme bereiten kann, andererseits bietet
Win$ows von Hause aus eine recht gro�e Angriffsfl�che und durch eine
aktuelle und "vern�nftig" konfigurierte Desktop-Firewall wird diese
(zumindest nach au�en hin) reduziert.
[[Nat�rlich w�re besser man k�nnte unben�tigte Dienste einfach abschalten.]]

> Der Nutzen solcher "personal firewalls" ist im Fachkreisen umstritten. Viele
> Fachleute halten den Einsatz solcher Software f�r kontraproduktiv. Der im diesem 
> Themenkreis versierte CCC e.V. r�t von ihrem Einsatz ab. Stattdessen schl�gt 
> der CCC andere Ma�nahmen zur Absicherung von Winlosrechnern vor.

Umstritten ja. Den letzten Satz w�rde ich gerne pr�zisiert haben:
- sagt der CCC man solle andere Ma�nahmen *anstelle* von
Desktop-Firewalls einsetzen?
- meint der CCC man solle *zus�tzlich* andere Ma�nahmen vornehmen?

> Am kommenden Donnerstag kann eine ganz andere Art von Firewalls demonstriert
> werden, n�mlich ein Beispiel f�r eine sog. "hidden firewall", auch bekannt als
> bridging firewall, stealth firewall. 
> 
> Ihr technischer Vorteil besteht darin, keine IP-Adresse zu verwenden, 
> so dass sie im Netz quasi unsichtbar bleiben. Deshalb kann man sie gar nicht
> direkt angreifen. Hidden firewalls vermeiden das Problem, die Angriffsfl�che
> der zu sch�tzenden Rechner zu erh�hen.

Nein. Es sei denn du w�rdest vor jeden Netzwerk-Rechner eine bridging FW
h�ngen.. sobald mehr als ein Rechner im direkt erreichbaren Netz h�ngt
ist die Angriffsfl�che h�her als mit Desktop-Firewall. Ich w�rde keinem
Consultant/Manager trauen welcher behauptet das man keine
Desktop-Firewall braucht weil ja alle Maschinen durch die gro�e
Company-FW gesch�tzt sind. Gleiches gilt �brigens auch f�r die IDS/IPS
Verfechter. Oder Virenscanner nur auf Servern..

Sicherheit kommt durch Einsatz verschiedener Ma�nahmen auf
unterschiedlichen Layern - alles auf eine Karte zu setzen ist immer
risikoreich. Im Alltagsleben und "der Industrie" gibt es immer ein
Abw�gen zwischen Sicherheit, Geschwindigkeit und Kosten - am Ende werden
die Risiken abgewogen und jemand trifft eine Entscheidung. Leider sind
die Entscheider selten f�r Ihre Taten haftbar..

/me arbeitet im Support und hat tagt�glich mit Kunden-Firewalls zu tun.
Es ist wirklich erschreckend was "da drau�en" ist und wie wenig Ahnung
viele Anwender, Manager und (leider auch) Administratoren haben.


Ciao,
Achim

-- 
Achim Dreyer
Network Security Consultant || Phone: +44 7756948229
Senior Unix & Network Admin || RHCE, RHCA, CCNA, CCSA, CCSE, CCSE+, CSCE
CAcert Assurer              || JNCIS-FW