1. Fragwuerdige Funktionalitaet.
Um den Unsinn einer \'personal firewall\' zu durchleuchten, ist es noetig, die einzelnen Teile, die eine handelsuebliche (Windows)Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.
\'application control\'-Funktionalitaet
Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation laeuft, ueberwachen zu koennen, ist gelinde gesagt einfach unsinnig. Innerhalb der letzten Monate ist gezeigt worden, dass eine \'personal firewall\' durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Kaeufer dieser PF gerne glauben lassen moechte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage fuer einen Paketfilter unbrauchbar werden laesst (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software laeuft unter denselben Rechten. Eine \'personal firewall\' genauso wie das trojanische Pferd. Im Zweifelsfall beendet die \'boese Software\' die \'personal firewall\' einfach (es sei nicht verschwiegen, dass dies auch die unter Wie kann ich mich schuetzen? aufgefuehrten Tools betreffen kann). Als Beispiel sei ein Teil eines Usenetpostings (intern) angefuehrt, in welchem ein Visual-Basic-Skript beschrieben wird, welches (als Beispiel\'firewall\') den Zonealarm-Task einfach beendet. Noch eleganter finde ich ein Pascalprogr. (offline) von Steve Tricky, dass den OK-Button von Popup-Fenstern einfach per Software \'anklickt\'. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfaellig. Der einzig effektive Weg, sich gegen boesartige Software zu schuetzen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.
IDS-Funktionalitaet
Unter IDS versteht man ein \'intrusion detection tool\', sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reisserischen Meldung honoriert werden: \'hack attack auf Port $x blocked!\' - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen koennen, derart zu umschreiben. Ich persoenlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall haette etwas getan, was ansonsten uebel Schaden angerichtet haette. Dem ist aber nicht so. Keine Dienste == keine Angriffsflaeche. IDS-Systeme sind m.E. fuer richtige Firewallsysteme interessant, aber nicht fuer Privatanwender, die ueblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die \'Attacken\' auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine PF jemals koennte.
Paketfilterfunktionalitaet
Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusaetzliche Angriffsflaeche bietet und ausserdem die TCB (trusted computing base) vergroessert (soll heissen, Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (auch ein Erfahrungswert)). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalitaet bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt uebrigens noch einen weiteren Nachteil in Sachen Paketfilter: die derzeit erhaeltlichen \'personal firewalls\' koennen kein \'stateful filtering\', soll heissen, aktive Protokolle a la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird naemlich auch zum Server und bindet einen temporaeren Dienst auf einem der High Ports (>1024), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die \'personal firewall\' nun wissen, dass sie fuer genau diese Anwendung genau diesen Port, und auch nur fuer dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.
Zum ganzen Bericht
GarfTermy
Soulmann63
Ventox
