Welchen Nutzen hat eine Firewall?



  • Wenn an einem Port kein Dienst lauscht, dann kann da nicht eingebrochen werden.

    Wenn an einem Port ein Dienst läuft, dann ist er dazu da, auf Anfragen von Außen zu antworten.

    Wenn an so einem Port ein Dienst läuft, der Anfragen von Außen annehmen soll, dann macht es keinen Sinn, den Port mit einer Firewall zu sperren.

    Lässt eine Firewall den Zugriff auf diesen Dienst über diesen Port zu, aber hat der Dienst einen ausnutzbare Sicherheitslücke, dann nutzt die Firewall auch nichts, da sie ja die Anfragen zulässt.

    Sperrt man alle Ports mit der Firewall, mit Ausnahme von denen, die rauswählen können sollen dürfen, um zu Verhindern dass Schadecode oder Trojaner rauswählen können, dann bedient sich der Schadecode einfach der Portnummer und Anwendung, die rauswählen darf, um selbst rauszuwählen.

    Wozu also eine Firewall?
    Wiegt sie den Nutzer nicht einfach nur in eine falsche Sicherheit?



  • Es gibt genügend Services die man nicht public über's Internet erreichbar haben muss.
    Es gibt weiters genügend Services die man nicht public über's Internet erreichbar haben will. z.B. weil sie veraltete Authentifizierungsmechanismen verwenden, nicht DoS sicher sind oder es sontige Probleme geben könnte wenn einfach jeder auf deren Ports connecten kann.

    Daher sperrt man üblicherweise über die Firewall alles was nicht public über's Internet erreichbar sein muss. Und bei allem was man durchlässt guckt man 2, 3, 10x hin und checkt ob die Security ausreichend ist.

    Das selbe gilt dann nochmal beim Zugriff auf diverse Server vom internen Firmennetzwerk aus. Die meisten Mitarbeiter müssen nicht auf z.B. den dicken production Webserver zugreifen können (ausser über genau die Ports die auch von aussen erreichbar sind). Daher sperrt man auch das.

    Für alles was dann trotzdem doch irgendwo irgendwie gehen sollte nimmt man einen VPN. Dabei stellt der VPN sicher dass man nicht ohne starke Authentifizierung zugreifen kann. Und macht es nebenbei unmöglich den Datenverkehr abzulauschen, was bei der Kommunikation mit bestimmten "internen" Services auch oft wichtig sein kann.


  • Mod

    Ich nehme mal an, dass du von persönlichen Firewalls auf Privatrechnern sprichst. Dass Firewalls auf Netzwerkgeräten ein ganz anderes Kaliber bezüglich Sicherheit sind, sollte klar sein.

    Sperrt man alle Ports mit der Firewall, mit Ausnahme von denen, die rauswählen können sollen dürfen, um zu Verhindern dass Schadecode oder Trojaner rauswählen können, dann bedient sich der Schadecode einfach der Portnummer und Anwendung, die rauswählen darf, um selbst rauszuwählen.

    An dieser Stelle fehlt dir eine wichtige Eigenschaft der lokalen Firewalls: Sie laufen mit Systemrechten und sind anwendungsspezifisch. Es kann eben nicht jedes dahergelaufene Programm ohne weiteres nach draußen. Du kennst sicherlich, dass man bei Onlinespielen nach der Installation, ja selbst nach der Installation eines Updates (wenn sich die Signatur der Executable geändert hat), stets erst mit Adminrechten eine Firewallausnahme genehmigen muss.

    Ein Schadprogramm muss also entweder Systemrechte durch Exploits erlangen (was hoffentlich nicht so einfach ist) oder den Benutzer überreden, dass CoolScreensaver.exe eine Firewallausnahme braucht (was bei den meisten Nutzern wohl ziemlich einfach ist, aber dann sind sie selber schuld).



  • SeppJ schrieb:

    Du kennst sicherlich, dass man bei Onlinespielen nach der Installation, ja selbst nach der Installation eines Updates (wenn sich die Signatur der Executable geändert hat), stets erst mit Adminrechten eine Firewallausnahme genehmigen muss.

    Meines Wissens nach wird nur bei Mac OS X die Signatur der EXE geprüft, ehe sie Zugang nach draußen erhält.

    Bei Windows dürfte ein bereits erteilter Zugang bestehen bleiben, also auch dann, wenn sich die Signatur der EXE ändert.

    Und ja, natürlich nutzt der Trojaner irgendeinen Exploit um sich höhere Rechte zu verschaffen.
    Rauswählen geht auch mit dem Browser. AFAIk wurde das auch schon gemacht.



  • computertrolls schrieb:

    SeppJ schrieb:

    Du kennst sicherlich, dass man bei Onlinespielen nach der Installation, ja selbst nach der Installation eines Updates (wenn sich die Signatur der Executable geändert hat), stets erst mit Adminrechten eine Firewallausnahme genehmigen muss.

    Meines Wissens nach wird nur bei Mac OS X die Signatur der EXE geprüft, ehe sie Zugang nach draußen erhält.

    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!


  • Mod

    computertrolls schrieb:

    Und ja, natürlich nutzt der Trojaner irgendeinen Exploit um sich höhere Rechte zu verschaffen.

    Ohne Firewall bräuchte er das nicht. Merkste was?



  • SG1 schrieb:

    computertrolls schrieb:

    SeppJ schrieb:

    Du kennst sicherlich, dass man bei Onlinespielen nach der Installation, ja selbst nach der Installation eines Updates (wenn sich die Signatur der Executable geändert hat), stets erst mit Adminrechten eine Firewallausnahme genehmigen muss.

    Meines Wissens nach wird nur bei Mac OS X die Signatur der EXE geprüft, ehe sie Zugang nach draußen erhält.

    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!

    Das ist eine 3rd Party PE Firewall, ich bezog mich auf die in Windows eingebaute.

    Siehe dazu auch:
    https://de.wikipedia.org/wiki/Personal_Firewall#Mac_OS_X

    Klar, eine 3rd party Firewall kann natürlich Prüfsummen bilden, aber digitale Signaturen die schon in der EXE Stecken sind dann politisch betrachtet doch nochmal etwas ganz anderes.



  • SeppJ schrieb:

    computertrolls schrieb:

    Und ja, natürlich nutzt der Trojaner irgendeinen Exploit um sich höhere Rechte zu verschaffen.

    Ohne Firewall bräuchte er das nicht. Merkste was?

    Auf das eine folgert nicht automatisch das andere.

    Denn höhere Rechte zu kriegen ist immer gut und vorbeugend mal die Kommunikation in einer anderen SW zu verstecken auch.
    Schließlich gibt's noch so Sachen wie wireshark.



  • SG1 schrieb:

    ...
    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!

    Hach Zonealarm... man hat sich als 15 jähriges Script-Kiddie immer wie in einem Hackerfilm gefühlt wenn das Warnfenster aufgegangen ist und hat sofort auf voller Bandbreite zurückgescannt 🕶 😃



  • Cpp_Junky schrieb:

    SG1 schrieb:

    ...
    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!

    Hach Zonealarm... man hat sich als 15 jähriges Script-Kiddie immer wie in einem Hackerfilm gefühlt wenn das Warnfenster aufgegangen ist und hat sofort auf voller Bandbreite zurückgescannt 🕶 😃

    Nö. 🙄



  • IT Senior schrieb:

    Cpp_Junky schrieb:

    SG1 schrieb:

    ...
    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!

    Hach Zonealarm... man hat sich als 15 jähriges Script-Kiddie immer wie in einem Hackerfilm gefühlt wenn das Warnfenster aufgegangen ist und hat sofort auf voller Bandbreite zurückgescannt 🕶 😃

    Nö. 🙄

    Wenn du 15 wirst schenk ich dir auch ZoneAlarm 😉



  • Cpp_Junky schrieb:

    IT Senior schrieb:

    Cpp_Junky schrieb:

    SG1 schrieb:

    ...
    Selbst Zonealarm (also die klassische Windows-Schlangenöl-Software) hat schon vor Jahren Prüfsummen erstellt. Sag nicht, dass das heute nicht mehr so ist?!

    Hach Zonealarm... man hat sich als 15 jähriges Script-Kiddie immer wie in einem Hackerfilm gefühlt wenn das Warnfenster aufgegangen ist und hat sofort auf voller Bandbreite zurückgescannt 🕶 😃

    Nö. 🙄

    Wenn du 15 wirst schenk ich dir auch ZoneAlarm 😉

    Dann kauf dir eine Zeitmaschine, damit du das wieder erleben kannst.


Log in to reply