Tutorials - Sicherheitsanalyse Personal Firewall
Sprachenübersicht/Betriebssysteme/Windows
Sicherheitsanalyse Personal Firewall
Diese Seite wurde 10581 mal aufgerufen.
Dieser Artikel wurde in einem Wikiweb System geschrieben, das heißt, Sie können die Artikel jederzeit editieren, wenn Sie einen Fehler gefunden haben, oder etwas hinzufügen wollen.
Editieren Versionen Linkpartnerschaft Bottom Printversion
Keywords: Personal Firewall, Sicherheit, Security
Inhaltsverzeichnis
Ein Personal Firewall ist eine Software die als Filter für den Endbenutzer agiert. Beispiele: Zonealarm, Norton Personal Firewall,...
Die Medien haben das Wort Firewall (damit sind Personal Firewalls gemeint) in den letzten Jahren zum Schlüsselwort für den rundum-Schutz gemacht. In den PC-Magazinen liest man immer wieder über neue Tests der Produkte, und AOL verspricht einen integrierten Firewall, der vor "Hackern" schützt.
Dieser Text analysiert die Funktionen der Personal Firewalls, und deren Sinn.
- Packet Filter
Der Personal Firewall unterbindet die Verbindung über einen Port.
Ein Programm, das im Internet kommunizieren will öffnet einen von 65535 Ports, über welchen es kommuniziert. Damit kann der Computer die Verbindung dem Programm zuordnen.
Im Normalfall ist der Webserver an den Port 80 gebunden. Wenn ein anderer Computer auf den Webserver zugreifen will, erhält der Webserver eine Anfrage ob der Port 80 offen ist. Wenn dies der Fall ist gehen alle anfragen ( Requests ), die den Port 80 betreffen, zum Webserver.
- Schwaches IDS (Intrusion Detection System)
Ein IDS versucht Angriffs-Muster zu erkennen.
- Programm Port öffnen lassen unterbinden
Der Personal Firewall schaut in seiner Regel-Liste nach, ob ein Programm einen Port öffnen darf. So kann man verhindern, dass z.B. Standard-Dienste vom Betriebssystem einen Port öffnen.
Damit wir uns darüber im klaren sind, wovor uns ein Personal Firewall schützen soll, d.h. was einen potentiellen Angriff darstellt, gehen wir die verschiedene Angriffsszenarien durch.
Zunächst sollten wir uns darüber im klaren sein, dass ein System nicht dafür entwickelt wird, dass es angegriffen wird, d.h. es gibt kein ultimatives Programm, welches ein System knackt.
Grundsätzlich können wir bei einem Heimanwender-System von zwei Angriffen ausgehen:
- Eingabedaten
Beispielsweise hat eine Scriptsprache eine Sicherheitslücke, so das man mit einem Word-Makro einen Virus bekommt. Buffer-Overflows bei welchen man schlechte Programmierung ausnützt (der Programmierer hat z.B. 30 Zeichen für ein Feld vorgesehen, der Angreifer verschickt 35 Zeichen, die 5 restlichen Zeichen überschreiben anderen Speicher) sind das beliebteste Ziel.
- Fehlentscheidungen von Benutzern (sozial engineering):
Der Benutzer öffnet ein infiziertes Programm, z.B. eine *.vba Datei in einer Mail, welches das System kompromittiert. Ein Personal Firewall kann das nicht verhindern, da er keinen Content filtert, sondern nur auf Ports überprüft.
Personal Firewalls selbst agieren nur im user-space, d.h. sie haben keinen direkten Systemzugriff und sie haben nicht mehr Rechte als normale Programme. Jedes andere Programm kann bei einer Popup-Meldung der Personal Firewall auf "Ja" klicken, oder den PF beenden. D.h. wenn ein Programm das System kompromittiert hat, kann der Personal Firewall überhaupt nichts mehr gegen das Programm unternehmen.
Die meisten Personal Firewalls öffnen bei einem potentiellen Angriff standardmäßig Popups, in welchen steht, dass ein Angriff stattgefunden hat.
Diese Popups haben aber, meiner Meinung nach, nicht den Zweck zu warnen, sondern sind eher eine Marketing Strategie der Hersteller.
Wenn ein Popup mit dem Text: " The firewall has blocked Internet access to your computer (ICMP Echo Request ('Ping')) from 212.144.x.x" geöffnet wird, dann klingt das für die meisten User nach einem Angriff.
In Wahrheit ist das eine einfache Abfrage ob ein PC an die IP-Adresse gebunden ist, nichts gefährliches, ich könnte das gerade in diesem Moment bei ihrem PC machen, ohne das ich Sie angreifen will.
Ich denke diese "Warnungen" sollen beim Benutzer die "absolute Sicherheit" vermitteln, und zeigen wieviel "Hacker" der Personal Firewall geblockt hat.
Wo wir schon beim Thema ICMP sind:
Das Protokoll ICMP wurde nicht nur zur Erleichterung der Administration entwickelt, sondern ist auch dafür verantwortlich das unsere Netzwerke und das Internet überhaupt funktionieren.
Ohne ICMP klappt z.B. die Fragmentierung von bestimmten Paketen (Stichwort: Path MTU) nicht.
Wenn Sie ICMP abschalten, dann gefährden Sie erstens das Internet, und zweitens erreichen Sie damit nichts.
Warum? Der Personal Firewall kann nicht zurücksenden, dass der Computer nicht existiert, sondern er kann nur die Nachricht, dass der Dienst (momentan) nicht zur Verfügung steht zurücksenden.
Die Hauptaufgabe von Personal Firewalls besteht darin das Öffnen von Ports von Programmen zu unterbinden (bzw. den Verkehr über bestimmte Ports). Wenn man diese Programme von Anfang an abschaltet (www.dingens.org schaltet übrigens die Standard-Dienste unter Windows; unter Linux /etc/inetd.conf), und nicht alles öffnet was bunt ist, dann könnte man auch ohne Personal Firewall auskommen.
Ungenützte Ports geschlossen halten ist sicher die elegantere Lösung.
Eine Kommunikation nach außen kann der Personal Firewall nicht wirklich verhindern (wenn das jemand will, dann schafft er es), die Kommunikation könnte z.B. über den HTTP (Webseiten) Port, oder über die Namensauflösung (Name wird in IP-Addresse umgewandelt) verlaufen, oder der Firewall könnte einfach abgeschaltet werden.
Allerding kann ein Firewall die Sicherheit auch verbessern, und ich denke wenn man sich nicht gut mit dem System auskennt, kann er ein Zuwachs an Sicherheit bedeuten, wenn man ihn, und den Virescanner nicht Objekt sieht das perfekte Sicherheit schafft. Man kann einen Personal Firewall zwar immer abschalten, aber die meisten Programme werden nicht auf jeden Personal Firewall eingehen.
Als nicht sehr erfahrener Nutzer würde ich einen Personal Firewall benutzten, aber bei Leute die die Gefahren kennen, und mit ihnen umgehen, und sie vermeiden können ist ein Personal Firewall meiner Meinung nach unnötig.
Ob man einen Personal Firewall benutzt muss jeder selbst entscheiden, es ist aber ein zusätzliches Stück Software, welches wiederum Sicherheitslücken haben könnte, und RAM/CPU verbraucht.
Ich hoffe, dass ich damit das Konzept von Personal Firewalls erläutert habe und dass ich einige Leser dazu bringen konnte, ihrem Firewall nicht zu sehr zu vertrauen.
Sicherheit kann man nicht mit einem Schalter (oder mit Software) ein und aus schalten (gilt vor allem für's Einschalten). Man muss sie immer im Hinterkopf behalten.
mfg. BLD
Gibt es noch irgendwelche Fragen, oder wollen Sie über den Artikel diskutieren?
Editieren Versionen Linkpartnerschaft Top Printversion
Haben Sie einen Fehler gefunden? Dann klicken Sie doch auf Editieren, und beheben den Fehler, keine Angst, Sie können nichts zerstören, das Tutorial kann wiederhergestellt werden
Sprachenübersicht/Betriebssysteme/Windows/Sicherheitsanalyse Personal Firewall