jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
flojo schrieb: lokale rootexploits gibts immer noch mehr als genug.
Ich weiß. Aber war nicht das Hauptargument des Artikels gegen Firewalls, dass es ja kaum Sicherheitslücken gäbe?
Nein. Grundsätzlich ist es so: Von Hause aus bringt Ubuntu erstmal keine offenen Ports mit, die man sperren müsste, das heißt eine Firewall ist erstmal überflüssig. Dummerweise nutzt du aber täglich zahlreiche Programme auf deinem Rechner, dabei ist es egal ob diese zur Standardinstallation gehören. Diese können Sicherheitslücken haben – deren Kommunikation willst du aber in der Firewall auch gar nicht blockieren, weil du die Programme ja nutzen willst. Nun kommt eine Schadsoftware über eine Sicherheitslücke in einem dieser Programme auf dein System – zum Beispiel über den Firefox, den du wohl kaum blockieren wirst. In dem Moment in dem der Code dieser Schadsoftware einmal ausgeführt wird, ist das Kind praktisch schon in den Brunnen gefallen, denn die Schadsoftware läuft schon auf deinem Rechner, kann dort einen lokalen Rootexploit nutzen und dann mit den passenden Rechten ausgestattet deine Firewall einfach ausschalten … Es gibt einfach kein Szenario, in welchem so eine Personal Firewall wirklich funktionieren kann. Ganz was anderes sind natürlich Paketfilter auf einem Gateway-Server, möglichst mit DPI und und und – also richtige Hardware Firewalls. Die sind natürlich wesentlich aufwendiger, ungleich teurer und bleiben bei unsachgemäßem Einsatz (z.B. durch Laien) ebenfalls ineffektiv. Richtig administriert ist das aber eine echte wirkungsvolle Firewall, die den Namen auch verdient. Alles andere ist Spielzeug, Snake-Oil, Placebo … ~jug
|
flojo
Anmeldungsdatum: 6. März 2009
Beiträge: Zähle...
|
Nun kommt eine Schadsoftware über eine Sicherheitslücke in einem dieser Programme auf dein System – zum Beispiel über den Firefox, den du wohl kaum blockieren wirst. In dem Moment in dem der Code dieser Schadsoftware einmal ausgeführt wird
Okay, vor einiger ZPeit gab es eine solche Sicherheitslücke in der Bibliothek die .png Dateien anzeigt. Ein Pufferüberlauf konnte somit von einer Website mit einem entsprechendem Bild ausgelöst werden, und dadurch konnte ein Kommando auf einem Rechner ausgeführt werden. Nun der Unterschied: Ohne Firewall ist der Exploit fast trivial. Man setzt ein einfaches Kommando ab, dass eine Netzwerkverbindung herstellt, und fertig. Der Attackierer kann dann später über die Verbindung das System untersuchen, und falls gewünscht einen weiteren Fehler finden und ausnutzen, um root zu werden. Mit Firewall ist der Exploit noch lange nicht fertig. Klar, für einen reinen Theoritiker vielleicht. Aber in der Praxis muss man einen Exploit schreiben der vollautomatisiert verschiedene weitere Fehler sucht und versucht auszunutzen, um root zu werden. Erst wenn ein solcher weiterer Fehler von dem Exploit gefunden wurde, kann er die Firewall manipulieren und eine Verbindung herstellen. Ich bezweifele ja garnicht dass das möglich ist. Aber es ist genauso wie mit dem ABS am Auto: Das verhindert auch nicht alle Unfälle, aber nur weil es Situationen gibt, in denen es nicht hilft, muss man es nicht abschaffen...
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21725
Wohnort: Lorchhausen im schönen Rheingau
|
flojo schrieb: Nun kommt eine Schadsoftware über eine Sicherheitslücke in einem dieser Programme auf dein System – zum Beispiel über den Firefox, den du wohl kaum blockieren wirst. In dem Moment in dem der Code dieser Schadsoftware einmal ausgeführt wird
Okay, vor einiger ZPeit gab es eine solche Sicherheitslücke in der Bibliothek die .png Dateien anzeigt. Ein Pufferüberlauf konnte somit von einer Website mit einem entsprechendem Bild ausgelöst werden, und dadurch konnte ein Kommando auf einem Rechner ausgeführt werden. Nun der Unterschied: Ohne Firewall ist der Exploit fast trivial. Man setzt ein einfaches Kommando ab, dass eine Netzwerkverbindung herstellt, und fertig. Der Attackierer kann dann später über die Verbindung das System untersuchen, und falls gewünscht einen weiteren Fehler finden und ausnutzen, um root zu werden.
Falsch. Der komplette Schadcode konnte im Bild sein, denn es gibt keine Grenzen für Bildgrößen. Somit bist du genauso weit wie vorher: Da der Schadcode durch die Firewall durchkam, hat sie vorher nicht geholfen und da er sie nun rekonfigurieren kann, ist sie ab diesem Moment nutzlos. Und da er durch User-Interaktion auf einem erlaubten Weg ankam, hat der ganze Ansatz versagt. Also genau das, was wir die ganze Zeit sagen. Mit Firewall ist der Exploit noch lange nicht fertig.
Siehe oben. Aber es ist genauso wie mit dem ABS am Auto: Das verhindert auch nicht alle Unfälle, aber nur weil es Situationen gibt, in denen es nicht hilft, muss man es nicht abschaffen...
Nicht alles, was hinkt, ist auch ein Vergleich: Nur weil ABS am Auto sinnig ist, muss es noch lange nicht an Zügen und Straßenbahnen helfen.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
flojo schrieb: Aber in der Praxis muss man einen Exploit schreiben der vollautomatisiert verschiedene weitere Fehler sucht und versucht auszunutzen, um root zu werden.
Man muss nichtmal zwingend root werden und die Firewall abschalten. Man weiß, dass man über eine Sicherheitslücke im Firefox reingekommen ist, dann bringt man den Firefox dazu als „Proxy“ die Internetverbindung aufrecht zu erhalten. Der Nutzer merkt davon kaum was. Und die Firewall wird sich für den Firefox auch nicht interessieren, der ist ja explizit freigegeben. In der Zwischenzeit kann man so schön weitere Programme nachladen oder über HTTP Daten nach draußen senden. Es wäre sogar möglich solche Schadsoftware komplett in XUL zu schreiben und Crossplattform direkt im Firefox laufen zu lassen, praktisch eine unsichtbare Erweiterung.
Aber es ist genauso wie mit dem ABS am Auto:
Hurra, Auto-Vergleiche!
Das verhindert auch nicht alle Unfälle, aber nur weil es Situationen gibt, in denen es nicht hilft, muss man es nicht abschaffen...
Richtig, und hier hinkt dein Vergleich: im Gegensatz zu ABS, gibt es keinen Fall, in dem eine Personal Firewall hilfreich ist. Gerne wird angeführt, dass man mit einer Personal Firewall ja feststellen kann, welche Prozesse auf das Internet zugreifen. Und den Nutzer dann davor warnen können. Wie gesagt, Schadsoftware kann ihren Internetverkehr über andere Programme umleiten, die üblicherweise in Firewalls freigegeben sind, um den wahren Ursprung zu verschleiern. Das Sicherste für dich ist immer noch: Schadsoftware gar nicht erst auf den Rechner zu lassen! Dabei hilft dir aber eine Firewall nicht. Hier gilt zum Beispiel unsere beliebte Warnung vor Fremdquellen, und bei allen Programmpaketen solltest du den Maintainern/Entwicklern schon trauen, tust du das nicht, dann lass die Finger vom Download. ~jug
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Personal Firewalls haben genau ein Problem: Falscher Ort. Wenn die Firewall auf dem System ist das ich filtern will, habe ich keine Firewall mehr. Das ist ja der Witz, den wenn ich den Server kapere besorge ich mir root und dann wird gemütlich iptables auf ACCEPT gesetzt und die restlichen Regel gedroppt. Wenn ich das habe deaktiviere ich erstmal alle anderen Logins, man weis nie wie clever der Admin ist. Nun Installiere ich gemütlich meine Dienste, den Aufwand Spuren zu Verschleiern kann man sich bei nem Rootserver sparen, die meisten Admins dieser Kisten haben eh keine Ahnung und drücken einfach den Button für die Neuinitialisierung inkl. Datenverlust, fertig. Wäre die Firewall aber vor dem System, also eine dedizierte ggf. sogar Hardware Firewall hätte der Angreifer darauf erstmal keinen Zugriff und würde massig Alerts triggern, womit ich schneller weis das was an meinem System nicht passt. Aber auch da folgendes Problem: Port 53, 25, 22, 443 und 80 sind bei den meisten Firewall nach Außen und Innen komplett offen, ist ja ein Server. Und schon hilft auch das nichts mehr Gegen Spambots. mfg Betz Stefan
|
flojo
Anmeldungsdatum: 6. März 2009
Beiträge: 17
|
Ich finde nicht, dass der Vergleich hinkt: Eine Personal Firewall ist eine Sicherheitsmaßnahme, die eine ganze Reihe von Angreifern abhalten kann. Nun sagt ihr aber, es gibt auch Angriffe, die sie nicht abwehren kann, also soll man ganz darauf verzichten. Zu einer vollständigen Lösung gehören nunmal viele Bausteine, und eine Personal Firewall ist ein möglicher Baustein. Nicht schön, dass ihr konsequent allen Usern davon abratet, und außerdem in dem Artikel nicht erwähnt, wie man an eine kommen kann. Wir leben nunmal nicht in einer Welt, in der es fehlerfreie Software gibt. Daher muss man sich damit abfinden, was man hat.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
flojo schrieb: Ich finde nicht, dass der Vergleich hinkt: Eine Personal Firewall ist eine Sicherheitsmaßnahme, die eine ganze Reihe von Angreifern abhalten kann.
Beispiel? ~jug
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21725
Wohnort: Lorchhausen im schönen Rheingau
|
flojo schrieb: Ich finde nicht, dass der Vergleich hinkt:
Ach nein? Du vergleichst einen Bremsassistenten, der nur dann regelt, wenn der Benutzer zu fest auf ein Pedal drückt, mit einem Filtermechanismus im Netzwerkstack, der ohne Interaktion oder auf Grund einer nicht definierten Logik mit Interaktion konfigurierbar sein soll. UNd das findest du, hinkt nicht? Eine Personal Firewall ist eine Sicherheitsmaßnahme, die eine ganze Reihe von Angreifern abhalten kann.
Dazu ist nun wirklich alles gesagt. Lies nochmal von vorn, was wir schrieben. Nun sagt ihr aber, es gibt auch Angriffe, die sie nicht abwehren kann, also soll man ganz darauf verzichten.
Eine echte Firewall ist nicht mit einer Desktop oder Personal Firewall zu vergleichen. Siehe dazu die anderen Beiträge. Zu einer vollständigen Lösung gehören nunmal viele Bausteine, und eine Personal Firewall ist ein möglicher Baustein.
Nochmals: Eine Firewall, egal welche, macht nur Sinn, wenn sie filtert. Wo kein Port von einem Dienst geöffnet ist, kann sie nichts filtern, ist also nutzlos (Standardzustand Ubuntu-Desktop). Wenn du zusätzlich einen Dienst installierst, um ihn danach NICHT lauschen zu lassen, kannst du dir sowohl den Dienst als auch die Firewall sparen. Wenn du einen Dienst installierst und ihn lauschen lässt, musst du an dieser Stelle ein Loch in die Firewall bohren und hast an den restlichen Ports immer noch nichts zu filtern. Du ahnst es sicher: Die Firewall ist in dem Fall sinnlos. Außerdem: Sicherheit ist ein Konzept, das NIE NIE NIE vollständig oder gar fertig sein kann. Nicht schön, dass ihr konsequent allen Usern davon abratet, und außerdem in dem Artikel nicht erwähnt, wie man an eine kommen kann.
Dazu belasse ich jeden Kommentar, ich wiederhole nicht den ganzen Thread. Wir leben nunmal nicht in einer Welt, in der es fehlerfreie Software gibt.
Richtig. Deshalb macht es Sinn, komplexe Software wegzulassen, wo sie keinen Vorteil bringt, um eventuelle Fehler in der Software gar nicht erst ausnutzbar zu machen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
redknight schrieb: Außerdem: Sicherheit ist ein Konzept, das NIE NIE NIE vollständig oder gar fertig sein kann.
+1
Richtig. Deshalb macht es Sinn, komplexe Software wegzulassen, wo sie keinen Vorteil bringt, um eventuelle Fehler in der Software gar nicht erst ausnutzbar zu machen.
An dieser (tollen) Stelle möchte ich nochmal auf die diversen Lücken in den Superspezialexpertenprodukten der Firma Symantec hinweisen, oder auf die von Kaspersky oder oder oder ... mfg Betz Stefan
|
flojo
Anmeldungsdatum: 6. März 2009
Beiträge: 17
|
redknight - vielen Dank nochmal für die ausführliche Wiederhohlung des Artikels. Ja, richtig, wir haben alle verstanden dass Du es nicht sinnvoll findet ankommende Pakete anhand von Headerdaten zu filtern. Die Argumentation ist soweit ganz stichhaltig, und ich habe nie etwas dagegen gesagt. Weiterhin filtern Personal Firewalls aber auch ausgehende Pakete, und genau darüber hatten wir ja auch zuletzt diskutiert.
Ich finde eben, dass diese Tatsache in einem solchem Artikel nicht verschwiegen werden darf.
Die Entscheidung, was jemand installiert, liegt ja immer beim Nutzer.
Außerdem: Sicherheit ist ein Konzept, das NIE NIE NIE vollständig oder gar fertig sein kann.
Eben genau darum fände ich es schön, wenn unter dem Artikel Personal Firewalls so wie es jeder erwartet auch Informationen dazu zu finden sind, wie man Personal Firewalls einrichtet. Also, ich hab jetz keine Lust mehr hier rumzudiskutieren. Die grundsätzliche Frage ist: wünschen auch andere anwesende das diese Informtionen (also sowohl dass Personal Firewalls auch ausgehende Pakete filtern, als auch Links zu Artikel darüber, wie man Personal Firewalls konfiguriert und nutzt) in den Artikel eingearbeitet wird? Ich werde als Neuling sicher nicht an irgendwas rumarbeiten, was keiner der Regulars lesen will und was morgen wieder gelöscht wird. Daher frage ich ja vorher nach. Viele Grüße,
flo
|
roxel
Anmeldungsdatum: 6. August 2011
Beiträge: 365
|
flojo schrieb:
Eben genau darum fände ich es schön, wenn unter dem Artikel Personal Firewalls so wie es jeder erwartet auch Informationen dazu zu finden sind, wie man Personal Firewalls einrichtet. Also, ich hab jetz keine Lust mehr hier rumzudiskutieren. Die grundsätzliche Frage ist: wünschen auch andere anwesende das diese Informtionen (also sowohl dass Personal Firewalls auch ausgehende Pakete filtern, als auch Links zu Artikel darüber, wie man Personal Firewalls konfiguriert und nutzt) in den Artikel eingearbeitet wird?
Ja, das würde Sinn machen. Ein Wiki-Artikel zu Personal Firewalls sollte das schon mit abdecken, auch wenn die Entscheidung zur Einrichtung einer Personal Firewall immer beim Anwender liegt.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
flojo schrieb: Weiterhin filtern Personal Firewalls aber auch ausgehende Pakete, und genau darüber hatten wir ja auch zuletzt diskutiert.
Was wie gesagt ziemlicher Blödsinn ist. Die Software die da bei Ubuntu dabei ist telefoniert nicht nach hause, da muss nichts geblockt werden. Die Verbindungen die aufgebaut werden, sind meistens entweder sinnvoll oder vom Nutzer gewünscht, zum Beispiel Updates, Chatprogramme … Auch die werden normalerweise nicht geblockt. Also was für ausgehende Verbindungen sollten denn da geblockt werden müssen? Schadsoftware? Ja sicher, die kann den Filter aber genau so gut abschalten. Oder sonstige Schäden anrichten ohne nach draußen zu telefonieren. Nein, bei Schadsoftware gilt immer noch die Zielsetzung diese gar nicht erst auf das System drauf zu lassen. Genau diese Zusammenhänge beschreibt der Artikel auch ausreichend.
Ich finde eben, dass diese Tatsache in einem solchem Artikel nicht verschwiegen werden darf.
Wird sie auch nicht, hinweise auf vorhandene Paketfilter liefert der Artikel. Die Konfiguration dieser Paketfilter gehört da aber nicht rein, sondern in die Artikel zu den entsprechenden Paketen. ~jug
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21725
Wohnort: Lorchhausen im schönen Rheingau
|
flojo schrieb: Weiterhin filtern Personal Firewalls aber auch ausgehende Pakete, und genau darüber hatten wir ja auch zuletzt diskutiert.
Ausgehende Pakete zu filtern ist ziemlich sinnfrei, wenn du nicht jedwede Kommunikation unterbinden willst (womit wir wieder an der Stelle wären, an der der Dienst und dann auch wieder die Firewall obsolet sind). Erklärung dazu: Ein Programm, wie zum Beispiel ein Webbrowser, wählt als ausgehenden Port einen zufälligen Port, meist über 32768. Auf Ports größer als 1024 kann auch jedes Programm mit userrechten einen Port öffnen. Das kannst du nur verhindern, indem du tatsächlich alle Ports in dieser Range blockst, also alle Kommunikation stilllegst. Dann hast du aber auch ein Inselsystem, an dem du auch gleich das Netzwerkkabel ziehen könntest, wobei danach wieder keine Firewall nötig wäre. Ich finde eben, dass diese Tatsache in einem solchem Artikel nicht verschwiegen werden darf.
Du hast bisher nicht argumentieren können, warum das verbieten des ausgehenden Datenverkehrs Sinn machen könnte. Wie sollte also die Information im Artikel aussehen? Oder soll nur drinstehen, dass eine Firewall ausgehenden Traffic filtern kann? Die Entscheidung, was jemand installiert, liegt ja immer beim Nutzer.
Richtig. Um ihm diese Entscheidung zu ermöglichen, muss ihm die Faktenbasis bekannt gemacht werden, was der Artikel tut. Wenn er sich für eine Lösung entscheidet, gehören Informationen zur jeweiligen Lösung in einen eigenen Artikel, wie es ihn für ufw zum Beispiel gibt. Außerdem: Sicherheit ist ein Konzept, das NIE NIE NIE vollständig oder gar fertig sein kann.
Eben genau darum fände ich es schön, wenn unter dem Artikel Personal Firewalls so wie es jeder erwartet auch Informationen dazu zu finden sind, wie man Personal Firewalls einrichtet.
siehe oben. Also, ich hab jetz keine Lust mehr hier rumzudiskutieren.
Interessant, dass die Diskussion jetzt schon ein paar mal so endete: Einer sagt "Aber es hilft doch!", bringt keine Pro-Argumente ein und verlässt dann die Diskussion mit dem obigen Ausspruch.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5068
|
flojo schrieb: Weiterhin filtern Personal Firewalls aber auch ausgehende Pakete, und genau darüber hatten wir ja auch zuletzt diskutiert.
Ich finde eben, dass diese Tatsache in einem solchem Artikel nicht verschwiegen werden darf.
In dem Punkt, dass eine sog. "Personal Firewall" sich eben auch gerade dadurch auszeichnet und auch auf den entsprechenden Plattformen so beworben wird, dass sie ausgehenden Verkehr filtern könne, stimme ich mit flojo überein, dass das im Artikel thematisiert werden müsste. Aber: Ich stimme hier ansonsten völlig mit redknight überein, dass die Ausgangskontrolle letztlich nichts bringt, Augenwischerei ist und letztlich zu mehr Unsicherheit führt, wenn der Nutzer sich nämlich darauf verlässt - und das unabhängig vom OS. Aber thematisieren müsste man das in einem solchen Artikel schon. Gruß,
Martin
|
flojo
Anmeldungsdatum: 6. März 2009
Beiträge: 17
|
redknight schrieb: Ausgehende Pakete zu filtern ist ziemlich sinnfrei, [...] Dann hast du aber auch ein Inselsystem, an dem du auch gleich das Netzwerkkabel ziehen könntest, wobei danach wieder keine Firewall nötig wäre.
Meine Güte, Du weißt doch, dass das nicht stimmt. Wir haben es gerade eben diskutiert, ein paar Mails weiter oben. Du glaubst nicht ernsthaft, das ich das jetzt wieder dahin schreibe, damit Du dich weiter im Kreis drehen kannst??
Also, ich hab jetz keine Lust mehr hier rumzudiskutieren.
Interessant, dass die Diskussion jetzt schon ein paar mal so endete
An wem das nur liegt. Nun denn. Vielen Dank für den Hinweis auf "ufw" - allerdings steht in dem Dir genanntem Artikel dass dies keine Personal Firewall ist, sondern ne ui zur iptables Konfiguration. Ich hatte mehr an sowas gedacht, was mir beim Aufbau einer ausgehenden Verbindung eine Warnmeldung und die komplette Befehlszeile des entsprechenden Programms anzeigt, so dass ich bestätigen, oder ablehnen kann. So wie bei M$ seit einiger Zeit Standard. Ich weis net, obs sowas überhaupt gibt.
|