Du bist wohl bei Netzwerken über den Hausgebrauch noch nciht hinaus gekommen, oder? Zumindest scheinst Du dir nicht vorstellen zu können, daßes auch größere und komplexere Netze gibt. Wenn in einem großen Firmennetz per SUS Updates und Servicepacks verteilt werden, sollen dann die Administratoren auf allen Rechnern zu Fuß überprüfen, ob immer noch alle Ports zu sind? Wenn dies ein großes Firmennetz ist in dem auch Notebooks von Außendienstmitarbeitern eingebunden werden oder Außendiesntmitarbeiter per RAS eingebunden werden, die potentiell nicht vertrauenswürdig sind, so packt man die zwar in ein eigenes Netz sofern möglich, aber da in der Regel Dienste der Server genutzt werden müssen gibt es zwangsläufig Übergänge zwischen den Netzen. Hier nutzt eine Firewall-Appliance zum Internet nichts mehr. Auch bei öffentlichen Hotspots und Campusnetzen, in denen die Teilnehmer selbstverantwortlich sind kann man nicht zentral für Sicherheit sorgen. Ein keines Beispiel. Zwei Studenten sitzen an ihrem Kampus mit ihren Notebooks und sind im WLAN-Netz der Universität. Sie müssen ihre Rechner vernetzen um Daten auszutauschen oder um gemeinsam an einem Projekt zu arbeiten. In dem selben Netz sind nach 100 Notebooks anderer Studenten im WLAN von denen keiner weiß, ob sie mit irgend etwas infiziert sind. Die beiden Studenten sind auch keine Netzwerkcracks. Wie wollen sie sicherstellen, daß sich ihre Notebooks über die gezwungenermaßen offenen Netzwerkports nicht mit etwas infizieren, oder ein unbefugter auf ihre Daten zugreift, ohne daß sie sich ein paar Monate mit Netzwerkprotokollen, IPSec und Berechtigungen rumschlagen? Man kann auch nie davon ausgehen, daß ein vollständig gepatchtes System nicht einem Zero-Day-Exploit zum Opfer fällt, gerade an Universitäten. In diesem Fall auf beiden eine Firewall, auf beiden den jeweils anderen rechner frei gegeben und alles andere geblockt. Arbeitsaufwand ca. 2 Minuten, nötige Erfahrungen sind nur minimal.
Ein Außendienstmitarbeiter, der sein Notebook in verschiedene Kundennetze integrieren muß kann auch kaum sein Notebook für jedes Netzwerk sicher umkonfigurieren, wenn er für das eine Netz eine Einbindung in die Domäne braucht, für das andere Netz alles zu sein soll und im dritten Netzvielleicht auf einen Terminalserver muß. Selbiges gilt für einen Studenten, der gelegentlich in das Campusnetz seiner Universität muß.
Was dein Einwand mit einem Router bei WLAN soll ist mir ehrlich auch schleierhaft. Nutzt Du WLAN, dann bringt eine Firewall im Router rein gar nichts, da jede Station sich durchaus direkt mit einer anderen verbinden kann, eine Filterung findet hier nicht mehr statt durch den Router, zumal Daten innerhalb eines Netzes nicht über den Router laufen. Wenn der böse Junge auf dem Parkplatz sich in das WLAN einhängt und einen Wurm verbreitet, dann kann der Router hundertmal die Pakete aus dem Internet filtern. Wenn man nicht das WLAN wasserdicht gemacht hat ist der Schädling im Netz.
Das sind alles Sonderfälle, aber genau darum geht es. Personal Firewalls sind weder pauschal gut noch schlecht. Es gibt Fälle in denen gute Produkte durchaus einen positiven Zusatznutzen bringen, die Sicherheit erhöhen und den administrativen Aufwand verringern können, gerade wenn diese Produkte auch Filtermöglichkeiten aus Applikationsebene mitbringen und Schadcode auf den Anwendungsdaten filtern können. Bei Applicances ist dies meist erst in sehr hohen Preisregionen möglich.
Ehrlich gesagt habe ch auf diese Diskussion aber keine Lust mehr, wer Firewalls per se hochjubeln will soll das tun, wer sie verdammen will kann das von mir aus auch tun.
Rigor Mortis
Olaf19
