ubuntuusers.de

Firewall unter Ubuntu?

Status: Gelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

wilson82

Anmeldungsdatum:
14. März 2008

Beiträge: 28

Wie gesagt, muss jeder für sich entscheiden, ob er eine Personal Firewall verwenden möchte und ich hatte nicht die Absicht die Diskussion wieder anstoßen, sondern lediglich denjenigen, die eine solche suchen, eine kostenlose Alternative zur Software von Pandas bieten, nach der ich zuvor vergeblich gesucht hatte.

@adun: Ich denke, eine Open Source Firewall ist per se angreifbar, da die inneren Abläufe offenliegen.
Außerdem kann ich an dieser Stelle garantieren, dass das Programm frei von Spyware etc. ist, dass ich selbst der Autor bin.

Viele Grüße

Chrissss Team-Icon

Anmeldungsdatum:
31. August 2005

Beiträge: 37971

@adun: Ich denke, eine Open Source Firewall ist per se angreifbar, da die inneren Abläufe offenliegen.

Security_through_obscurity ist kein nicht wirklich ein Plus...

wilson82

Anmeldungsdatum:
14. März 2008

Beiträge: 28

@ Chrissss: Guter Einwand, aber ich möchte an dieser Stelle den verlinkten Artikel zitieren: "Ein System sollte sich niemals allein auf security through obscurity verlassen, aber es kann sinnvoll sein, dadurch die Schwelle für potentielle Angreifer anzuheben."
Auch Linux-Firewall.org basiert auf der Blockade von Verbindungen, die nicht zu freigegebenen Anwendungen gehören. Durch "security through obscurity" bzw. den nicht veröffentlichten Source Code wird zusätzlich verhindert, dass Schwachstellen aufgedeckt und genutzt werden.

Viele Grüße

Chrissss Team-Icon

Anmeldungsdatum:
31. August 2005

Beiträge: 37971

Nein, Security through obscurity ist defintiv kein Plus. Wenn ich mir ansehe wie viel Bullshit in kommerzieller Software enthalten ist - und ich hab da ein paar Einblicke 😉 - dann weiß ich, nur Software in deren Black-Box man reinsehen kann, ist vertrauenswürdig.

Btw, der deutsche Wikipedia Artikel zum Thema ist zu mager. Die englische Wikipedia liefert mehr...

Security_through_obscurity

wilson82

Anmeldungsdatum:
14. März 2008

Beiträge: 28

Das ist wiederum ein neues Argument. Natürlich kann auch der Anwender selbst ebenso wie der "potentielle Angreifer" die Interna der Anwendung nicht sehen, um eventuelle Sicherheitslücken zu entdecken. Ich möchte an dieser Stelle auch nicht behaupten, dass es die perfekte Firewall gibt. Doch da ein Autor von Root Kits etc. sich in der Regel zuvor nicht mit einer möglichen Firewall bzw. genau dieser beschäftigt hat, kann er auch keine Maßnahmen getroffen haben, um diese zu umgehen. Anderseits, wenn komplett auf eine Firewall verzichtet wird, dann stellt sich die Frage, wie die Sicherheit erreicht wird, gar nicht, da dem Trojaner ja ohnehin alle Türen offen stehen.

Lunar

Anmeldungsdatum:
17. März 2006

Beiträge: 5792

wilson82 hat geschrieben:

Anderseits, wenn komplett auf eine Firewall verzichtet wird, dann stellt sich die Frage, wie die Sicherheit erreicht wird, gar nicht, da dem Trojaner ja ohnehin alle Türen offen stehen.

Welche Türen stehen einem Trojaner denn so offen, wenn keine Dienste laufen?

Im Übrigen würde ich davon ausgehen, dass ein Angreifer so viel Informationen als möglich über das Zielsystem sammelt. Insofern ist die Behauptung, der Angreifer würde sich nicht mit Firewalls auseinander setzen, ziemlich weltfremd.

Chrissss Team-Icon

Anmeldungsdatum:
31. August 2005

Beiträge: 37971

@wilson82
Bitte meine nicht, dass ich dich ignoriere. Aber diese Thema haben wir unter

http://forum.ubuntuusers.de/topic/9494/

bereits *SEHR* intensiv disuktiert. Ich werde nun ein paar Dinge nochmal aufrollen und mich dann raushalten.

* Eingehende Verbindungen: Viele User haben "Angst" vor bösen "offenen Ports". Und Portscan sagen, dass sie "Verwundbar sind" bla blub. Hier existiert unglaublich viel Halbwissen, was durch ComputerBild und Co. mit "Tausende Wege dein Windows Hackersicher zu machen" genährt wird. Offene Ports sind nichts böses, PFWs bringen hier auch keinen Plus, wenn das System dahinter von Haus aus solide konfiguriert ist, was ein Ubuntu nunmal ist. Zu diesem Thema habe ich mit Otzenpunk einen sehr ausführlichen Artikel geschrieben:

Offene_Ports

* Ausgehende Verbindungen: Auch hier wieder. Das Konzept einer Personal Firewall ist a priori zum Scheitern verurteilt. Will ein Programm Daten nach aussen schicken oder Empfangen, so wird es das können. Es gibt unzählige Wege an einer PFW vorbei. Panda hats probiert. Auch hier haben Otzenpunk und ich uns das mal angesehen und in Minuten die trivialsten Schwachstellen aufgedeckt

http://forum.ubuntuusers.de/topic/42047/

PFWs sind Blendwerk, mehr nicht.

//PS: Um es nochmal klarzustellen. Wir müssen deutlich zwischen Personal Firewalls und "richtigen" Firewalls unterscheiden. PFW sind Anwendungen im Userspace, wo der Anwender durch Interaktion Regeln definieren kann. Richtige Firewalls sind ein Konzept, kein Programm. Ein Zusammenspiel aus Proxys, netfilter und Co. Ja, mit Firewalls, Prävention der Softwareinstallation etc.

wilson82

Anmeldungsdatum:
14. März 2008

Beiträge: 28

@ Lunar & Chrisss: Ich kann dem vollkommen zustimmen: Wer sich sicher ist, dass sein System sauber ist und lediglich Open Source Software installiert hat, braucht keine Personal Firewall. Das können allerdings nicht alle von sich behaupten - ich zumindest nicht.
Bei Linux-Firewall.org handelt es sich um eine Personal Firewall: Angriffe auf Privatrechner sind i.d.R. nicht gezielt, sondern der Anwender läd die falsche Software herunter und fängt sich dabei einen Trojaner ein. Wenn sich dessen Autor mit sämtlichen Firewalls beschäftigt hat, findet dieser eventuell einen Weg nach draußen. Hat der Anwender keine Firewall installiert, so verbindet sich der Trojaner ohnehin ungehindert. Ich persönlich kann das Argument, doch lieber gleich auf eine Sicherheitsmaßnahme zu verzichten, weil diese doch eventuell umgangen werden könnte, nicht nachvollziehen und hab mich deshalb für eine Firewall entschieden.
Ich möchte niemand von seiner Meinung abbringen und auch die Diskussion nicht erneut aufrollen, sondern lediglich diejenigen, da es ebenso wie ich sehen, einladen Linux-Firewall.org auszuprobieren.

Viele Grüße

Lunar

Anmeldungsdatum:
17. März 2006

Beiträge: 5792

wilson82 hat geschrieben:

Wenn sich dessen Autor mit sämtlichen Firewalls beschäftigt hat, findet dieser eventuell einen Weg nach draußen. Hat der Anwender keine Firewall installiert, so verbindet sich der Trojaner ohnehin ungehindert.

Es gibt viele Wege durch PFs hindurch. Eine PF, die als reiner Paketfilter fungiert, lässt sich ganz einfach austricksen. Der kontrollierende Server muss lediglich auf Port 25, 80, 110 oder 143 lauschen, alles Ports, die so gut wie immer freigeben sind.

Versucht die Anwendung, Prozesse zu identifizieren und zu kontrollieren, dann steuere ich halt eine andere Software fern, oder nutze eine Interpreter-Sprache zum Zugriff. Für ersteres kann man beispielsweise wget nehmen, was in der Regel freigeben ist. Alternativ schreibe ich den Code zum Verbindungsaufbau halt in Python oder Perl, die in der Regel ebenfalls freigeben sind. Oder ich fälsche eine Binärdatei...

Wenn ich lokale Root-Rechte über Privilege Escalation Lücken im Kernel erlangt habe, dann kann ich ein Rootkit installieren, und eh frei entscheiden, welche Verbindungsversuche die PF sieht. Dann interessiert mich die PF überhaupt nicht mehr.

Summa summarum: Ein Trojaner findet *immer* einen Weg durch die PF, was man unter Windows wunderbar sieht. Das einzige, was eine PF erfolgreich kann, ist Ärger machen, wenn sie legitime Programme blockiert.

Chrissss Team-Icon

Anmeldungsdatum:
31. August 2005

Beiträge: 37971

Zum Thema Linux-Firewall.org... Genau der selbe Mist wie Panda! Ich habe die ersten zwei Angriffsvektoren von

http://forum.ubuntuusers.de/topic/42047/

wiederholt:

0) Sinnlose Hinweise: Bei einem

$ sudo apt-get update

werde ich gewarnt, dass das Programm "http" aufs Netz zugreifen will... Natürlich sag ich ja... genauso wie der unbedarfte User.

1) Interpretersprachen: Erlaubt man einem Python Programm den Zugriff aus Netz, so dürfen alle mit Python geschriebene Anwendungen aufs Internet zugreifen. Überprüfbar bspw mit QuodLibet und Sonata

2) Keine Checksummen: wget und lynx installieren. Mit wget was runterladen und den Zugriff erlauben. /usr/bin/lync in /usr/bin/wget umbenennen. Und schwups darf man mit Lynx ins Netz.

Das sind zwei absolute triviale Ansätze an einer PFW vorbei zu kommen, und sie klappen. Also, wie immer ist so nen Software vollkommen sinnlos!

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

Chrissss hat geschrieben:

http://forum.ubuntuusers.de/topic/9494/
bereits auf 17 Seiten diskutiert wurden...

Aus diesem Grund ist auch an dieser Stelle jetzt auch der Thread gesperrt.

Bitte benutzt doch die Forensuche und lese auch mal die älteren Beiträge durch, Danke.

mfg Betz Stefan

Antworten |