nächstes Treffen

[A. Dreyer]

Peter Voigt wrote:
> On Tue, Oct 27, 2009 at 08:42:33PM +0000, A. Dreyer wrote:
> 
>>> Solche Software erhöht schlichtweg die Angriffsfläche von Windosrechnern.
>> Diese Aussage halte ich für recht zweifelhaft. Einerseits ist dies ein
>> Stück Software mehr das Probleme bereiten kann, andererseits bietet
>> Win$ows von Hause aus eine recht große Angriffsfläche und durch eine
>> aktuelle und "vernünftig" konfigurierte Desktop-Firewall wird diese
>> (zumindest nach außen hin) reduziert.
>> [[Natürlich wäre besser man könnte unbenötigte Dienste einfach abschalten.]]
> 
> Nur ein einzelner Link zu diesem Thema:
> http://www.team-cauchy.de/personal/

(K) 2001 by Team Cauchy
.. keine Updates? Also hat sich in den letzten 8 Jahren der Einsatzzweck
und die Umgehensweise mit dem Rechner nicht geändert und es setzt
niemand mehr Windows-Rechner mit Software die automatische Updates
durchführt ein oder hat Skype installiert, benutzt Social-Websites wo
jeder vermerkt wenn er mal auf Toilette geht..


> Diese Frage berührt mich weniger, weil keiner meiner Windos-Rechner mit dem 
> Internet verbunden ist. Mir ging es darum, das vorgeschlagene Thema zu 
> präzisieren:
> 
> Es geht um hidden firewalls, nicht um personal firewalls. 
>   
> Beide unterscheiden sich in wesentlichen Punkten:
> 
> (1)  Personal firewalls gibt es nur auf Windos-Rechnern.

Falsch! Wenn ich mir die Liste der Linux "Firewall"-Pakete in debian
anschaue sehe ich dort u.a.:
- firestarter
- guidedog/guarddog
- gufw
- kmyfirewall
- mason
- nufw nuauth/nutcpc/nuapplet

und deren Beschreibungen ähneln doch sehr der Feature-Liste von Desktop-
oder Personal-Firewalls..

> (2)  Personal firewalls dienen anderen Zwecken, enthalten andere/weitere Funktionen
> und sind technisch anders aufgebaut als hidden firewalls.

korrekt

> (3)  Der Nutzen von personal firewalls ist in Fachkreisen umstritten.

Ebenso der Einsatz von (packet-filtering) Firewalls allgemein, es gibt
auch die Meinung das alleine filtering Proxys die Lösung sind. (Proxys
sind meines Erachtens nach keine Firewalls..)

Die einzig absolut sichere Firewall ist ein durchgeschnittenes Kabel.

> (4)  Hidden firewalls verfügen über ein technisch interessantes Alleinstellungs-
> merkmal, nämlich der fehlenden IP-Adresse, was im praktischen Betrieb mehrere 
> Vorteile erzeugt.
> 
>>> Der Nutzen solcher "personal firewalls" ist im Fachkreisen umstritten. Viele
>>> Fachleute halten den Einsatz solcher Software für kontraproduktiv. Der im diesem 
>>> Themenkreis versierte CCC e.V. rät von ihrem Einsatz ab. Stattdessen schlägt 
>>> der CCC andere Maßnahmen zur Absicherung von Winlosrechnern vor.
>> Umstritten ja. Den letzten Satz würde ich gerne präzisiert haben:
>> - sagt der CCC man solle andere Maßnahmen *anstelle* von
>> Desktop-Firewalls einsetzen?
>> - meint der CCC man solle *zusätzlich* andere Maßnahmen vornehmen?
> 
> Der CCC präzisiert seine Haltung in seiner Sicherheits-FAQ und verweist auf eine
> weitere Firewall-FAQ:
> 
> http://ccc.de/faq/security?language=de#internet
> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
> 
> Im Kern sehe ich keinen Widerspruch zu Deinen Aussagen.

Ich würde Bridging Firewalls gar nicht mit Desktop-Firewalls in einem
Artikel erwähnen da diese komplett unterschiedliche Einsatzzwecke haben
und meines Erachtens nach überhaupt nichts miteinander zu tun haben.

(Allerdings finde ich die Aussage in dem einen Artikel das die Personal
Firewalls schlechter sind als die Windows Firewall schon recht weit her
geholt. Ja, es ist zusätzliche Software, aber warum sollen andere
Hersteller da schlechter programmieren als Microsoft? Ich glaube es geht
dabei eher um die Erwartungshaltung der Kundschaft.)

>>> Ihr technischer Vorteil besteht darin, keine IP-Adresse zu verwenden, 
>>> so dass sie im Netz quasi unsichtbar bleiben. Deshalb kann man sie gar nicht
>>> direkt angreifen. Hidden firewalls vermeiden das Problem, die Angriffsfläche
>>> der zu schützenden Rechner zu erhöhen.
>> Nein. Es sei denn du würdest vor jeden Netzwerk-Rechner eine bridging FW
>> hängen.. 
> 
> Um meinen Standpunkt zu verdeutlichen:
> 
> Hidden firewalls vermeiden das Problem, die Angriffsfläche zu erhöhen. Obwohl 
> der Firewall-Rechner als weiteres denkbares Angriffsziel ins Netzwerk gestellt 
> wird, wird der Angriffsvektor gegen das betroffene Netzwerksegment mit allen 
> seinen Rechnern nicht nennenswert erhöht, weil direkte Angriffe gegen den 
> Firewall-Rechner ohne IP-Adresse kaum möglich sind. 

Auch "Hidden Firewalls" parsen externen Netzwerk-Traffic - eine
unsaubere Programmierung ist dabei genauso gefährlich wie bei anderen
Firewalls. Einzig das diese von Hause aus keine IP-Adresse haben
bedeutet noch nicht das hier keine Buffer-Overflows möglich oder
wahrscheinlich sind. Sobald ein derartiges System "infiziert" ist kann
es natürlich outbound Connections aufbauen und (versuchen) sich zu
Bot-Netzen zu verbinden.
An sich ist dies auch nur Security by Obscurity.

Früher sah man noch öfters Firewalls auf denen nur der Kernel aktiv war,
keinerlei Userspace Programme. Davon scheinen allerdings nicht mehr
viele übrig geblieben zu sein, scheinbar will jeder heutzutage UTM
(Unified Thread Management) mit eingebautem Virusscanner, Streaming
Media Filter, VoIP,.. und holt sich damit die größere Angriffsfläche
direkt ins Haus.

Was ist eigentlich genau der Unterschied zwischen einer Bridging
Firewall und einer Inline-IPS ?



Wie gesagt wäre ich gerne bei dem Treffen und das Posting soll kein
Bashing sein, sondern ich wollte dazu nur mal eine Diskussion anregen..


Ciao,
Achim