nächstes Treffen

[A. Dreyer]

Hallo Peter,

Da ich an dem Treffen nicht teilnehmen kann, dennoch am Thema
interessiert bin würde ich einige Punkte hier mal zur Diskussion stellen...


> Als "personal firewall" werden üblicherweise Firewalls bezeichnet, welche
> Desktop-User auf ihren Winlosrechnern installieren.
...
> Diese Software ist kompliziert und fehleranfällig. Immer wieder wird auf
> heise.de über erfolgreiche Angriffe gegen Winlosrechner mit solcher Soft-
> ware berichtet, manchmal sogar mit lachhaften Auswirkungen (Stichwort: 
> Update des Virenscanners lädt Backdoor).
> 
> Solche Software erhöht schlichtweg die Angriffsfläche von Winlosrechnern.

Diese Aussage halte ich für recht zweifelhaft. Einerseits ist dies ein
Stück Software mehr das Probleme bereiten kann, andererseits bietet
Win$ows von Hause aus eine recht große Angriffsfläche und durch eine
aktuelle und "vernünftig" konfigurierte Desktop-Firewall wird diese
(zumindest nach außen hin) reduziert.
[[Natürlich wäre besser man könnte unbenötigte Dienste einfach abschalten.]]

> Der Nutzen solcher "personal firewalls" ist im Fachkreisen umstritten. Viele
> Fachleute halten den Einsatz solcher Software für kontraproduktiv. Der im diesem 
> Themenkreis versierte CCC e.V. rät von ihrem Einsatz ab. Stattdessen schlägt 
> der CCC andere Maßnahmen zur Absicherung von Winlosrechnern vor.

Umstritten ja. Den letzten Satz würde ich gerne präzisiert haben:
- sagt der CCC man solle andere Maßnahmen *anstelle* von
Desktop-Firewalls einsetzen?
- meint der CCC man solle *zusätzlich* andere Maßnahmen vornehmen?

> Am kommenden Donnerstag kann eine ganz andere Art von Firewalls demonstriert
> werden, nämlich ein Beispiel für eine sog. "hidden firewall", auch bekannt als
> bridging firewall, stealth firewall. 
> 
> Ihr technischer Vorteil besteht darin, keine IP-Adresse zu verwenden, 
> so dass sie im Netz quasi unsichtbar bleiben. Deshalb kann man sie gar nicht
> direkt angreifen. Hidden firewalls vermeiden das Problem, die Angriffsfläche
> der zu schützenden Rechner zu erhöhen.

Nein. Es sei denn du würdest vor jeden Netzwerk-Rechner eine bridging FW
hängen.. sobald mehr als ein Rechner im direkt erreichbaren Netz hängt
ist die Angriffsfläche höher als mit Desktop-Firewall. Ich würde keinem
Consultant/Manager trauen welcher behauptet das man keine
Desktop-Firewall braucht weil ja alle Maschinen durch die große
Company-FW geschützt sind. Gleiches gilt übrigens auch für die IDS/IPS
Verfechter. Oder Virenscanner nur auf Servern..

Sicherheit kommt durch Einsatz verschiedener Maßnahmen auf
unterschiedlichen Layern - alles auf eine Karte zu setzen ist immer
risikoreich. Im Alltagsleben und "der Industrie" gibt es immer ein
Abwägen zwischen Sicherheit, Geschwindigkeit und Kosten - am Ende werden
die Risiken abgewogen und jemand trifft eine Entscheidung. Leider sind
die Entscheider selten für Ihre Taten haftbar..

/me arbeitet im Support und hat tagtäglich mit Kunden-Firewalls zu tun.
Es ist wirklich erschreckend was "da draußen" ist und wie wenig Ahnung
viele Anwender, Manager und (leider auch) Administratoren haben.


Ciao,
Achim

-- 
Achim Dreyer
Network Security Consultant || Phone: +44 7756948229
Senior Unix & Network Admin || RHCE, RHCA, CCNA, CCSA, CCSE, CCSE+, CSCE
CAcert Assurer              || JNCIS-FW