hier mal wieder zur auffrischung aus der Firewall-FAQ, bevor sie in vergessenheit gerät
netstat zeigt offene Ports, aber da läuft garantiert nichts! Was übersehe ich?
Windows (oder netstat für Windows) hat da tatsächlich einen Fehler. Wenn eine TCP-Verbindung vom lokalen Rechner aufgebaut wurde, zeigt netstat -an fälschlicherweise auch den Sourceport als LISTEN an. LISTEN heißt aber im TCP/IP Begriffsuniversum: Hier hängt ein Server, der neue TCP Verbindungen annehmen will.
Proto Local Address Foreign Address State
tcp 217.17.192.37:1213 217.17.192.67:119 ESTABLISHED
tcp 0.0.0.0:1213 0.0.0.0:* LISTEN
Warum will man mich in de.comp.security.firewall verarschen?
Newsgruppen dienen doch dazu, einander zu helfen!
Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.
Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.
Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"
Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck \'Das ist kein Haus.\', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."
Diese FAQ soll dazu beitragen, dass derartige offenkundig unerfüllbare Wünsche seltener oder am besten gar nicht an die Gruppe herangetragen werden. Sie soll zum Nachdenken anregen.
Wie kann ich mich unsichtbar machen?
Um "unsichtbar" zu sein, mußt Du mit der IP Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. (Der steht bei Deinem Provider und Du hättest kein Internet.)
Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls" trotzdem so gelobt?
Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum Abdruck von Werbetexten als redaktionelle Artikel. Aber auch seriöse Zeitschriften müssen Werbekunden berücksichtigen. Darüberhinaus urteilt der Großteil der Zielgruppe nur danach, ob
bunte Bilder angezeigt werden,
die "Firewall" nicht abschmiert,
nach wie vor alle Verbindungen funktionieren, und
hin und wieder eine Meldung über ganz gefährliche Portscans, die jedoch erfolgreich abgewehrt wurden, erscheint.
Was ist eigentlich sicher?
Die Frage nach Sicherheit, zieht sofort die Gegenfrage "Wogegen?" nach sich. Wie schützt man ein System gegen bspw. Fehlbedienung?
Der Begriff Sicherheit bezieht sich auf ein bestimmtes Szenario und ist dort binär: Entweder ein System ist gegenüber genau diesem Szenario sicher oder eben nicht.
Trotzdem hört man immer wieder davon, etwas "sicherer" zu machen. Dies bezieht sich auf die Gesamtmenge aller denkbaren Szenarien und versucht den Prozentsatz der Szenarien zu ermittlen, in denen das System sicher ist. Da aber ein unsicheres Szenario genügt, um ein System zu kompromittieren, ist diese Denkweise höchst gefährlich. Es gibt überabzählbar unendlich viele Szenarien, man kann sich aber nur gegen konkrete Szenarien schützen. Das Maß der so entstehenden Gesamtsicherheit ist aber nicht zwangsweise Null, da man sich gegen Sicherheitsklassen schützen kann (Pufferüberläufe, Rechner wegtragen, Stromausfall bis zu einer Stunde).
Erstes Fazit: Man braucht eine Liste von Szenarien, in denen man Sicherheit erreichen will. => Ein Konzept.
Was ist aber nun sicher? Es gibt viele Antworten, meine ist: "Sicher ist ein System genau dann, wenn die Kosten des Angriffs den erzielbaren Nutzen niemals unterschreiten." Diese Definition gestattet es, die Sicherheit von Systemen zu ermitteln, da man theoretische Untergrenzen des Aufwandes ermitteln kann und somit weiß, wieviel Wert man einem solchen System anvertrauen kann. Z.B. ist der Wert einer Pressemitteilung auf die Zeit vor deren Veröffentlichung begrenzt. Ein Schutz, der mit einem Aufwand von einer Mio EUR nicht unter einem Monat zu brechen ist, reicht also, um wöchentliche Meldungen zu schützen, aus denen man weniger Nutzen ziehen kann.
Andere Definitionen befassen sich mit der Wahrscheinlichkeit möglicher Schäden und setzen das in Verhältnis zum getriebenen Aufwand. Dies ist besonders in der Versicherungsbranche üblich und eine rein betriebswirtschaftliche Kalkulation über die Menge aller möglichen Szenarien. Es ist keine Aussage zur Sicherheit in einem Szenario, sondern Eine zur Gesamtsicherheit. Viele Industrieversicherer bieten eine von den Schutzvorkehrungen abhängige Prämie. Dies ist einer der besten Tests für eine Firewall.
Herman Munster
