Firewall im Kopf

Nein hier drehts sich nicht um irgendeinen Portblocker im Router oder IPTables bzw. PF auf dem Server etc. Es dreht sich um diese persönlichen Feuerwälle in Windows, kurz PFW genannt (Personal Firewall). Outpost, Kerio, Norton Internet Security1 , Zonealarm und wie sie alle heißen — sie alle haben eines gemeinsam, sie verheißen omnipotente Sicherheit2 . Alles was hinein möchte wird grundsätzlich erst einmal geblockt, alles was raus möchte durchläuft einen Lernmodus. Dieser Lernmodus erkennt das irgendein Programm/Dienst mit der Außenwelt Kontakt aufnehmen möchte, ergo poppt ein Hinweisfenster auf, das diesen Umstand meldet und mehrere Optionen anbietet, um diese Sache auch zukünftig mit der gleichen Regel zu verarbeiten.


Hört sich doch alles gut an, oder? Will was hinaus muß es am Firewall vorbei, will etwas hinein muß ich erst händisch freigeben, ansonsten prallt es an der Wand ab. Wo liegt also das Problem? Nun das Problem liegt darin, das ein Programm das hinaus möchte auch hinaus kann. Keiner der üblichen Firewalls die unter Windows Anwendung finden bietet einen Schutz dagegen.3 Bestes Beispiel (noch) positiver Natur ist Skype, das sich mehr oder weniger geschickt an jedem PFW vorbeimogelt. Dient es dort noch dem Komfort, kann eine Sicherheitslücke in Skype schon weitaus schlimmeres ermöglichen, z.B. Huckepack wird ein Trojaner mitgeliefert der zukünftig über Skype kommuniziert — an der Firewall vorbei.

Ehrlicherweise muß man auch folgendes erwähnen, die PFWs werden zum Gros von Leuten eingesetzt, die entweder nicht wissen was sie da tun und sich Schutz versprechen und desweiteren von jenen die illegale Software einsetzen, die Kontakt mit dem Mutterschiff aufnimmt. Ich weiß natürlich das es da Leute gibt, die da meinen ihre legal erworbene Software spioniere sie gar heftig aus. Gibts Beweise dafür? Nein, es gibt sogar gegenteilige Beweise. Aber die PFW-Industrie tut natürlich gut daran im Eigeninteresse die Angst zu schüren. Wirklich Leute, schaut euch mal um, vom Staat werden eure Rechte permanent abgegraben und von diesen auf Datenschutz bedachten PFW Nutzern sind vielleicht mal eine Handvoll dazu bereit sich genau für diese Rechte einzusetzen. Ãœber die Lächerlichkeit des Anliegens und der brachliegenden Logik in der Argumentationskette pro PFW brauchen wir uns folglich nicht weiter zu unterhalten. Das ist halt die berühmte Firewall im Kopf4 .

Der Streit der da in Foren etc. tobt ist tatsächlich keiner, da auf der einen Seite Leute mit Wissen sitzen und auf der anderen Seite überängstliche Zeitgenossen, die nach Strohhalmen greifen — sprich PFW. Es macht Sinn z.B. mit der internen Firewall von Windows XP den Zugriff von außen her zu blocken und gut ist5 . In Vista kann man noch einen Schritt weitergehen und untersagt bestimmten Anwendungen den Zugriff auf die Außenwelt, auch hier gibts keinen Automatismus und das ist auch gut so, weils schlicht Unsinn ist. Wer meint die PFW könne alles abfangen irrt, wenn ein Programm hinaus möchte, kommt es auch hinaus. D.h. wer Sicherheit möchte muß sein System sauber halten und auf unregelmäßiges Verhalten achten.

Wer Angst davor hat die Firewall von Microsoft zu nutzen ob möglicher Spionageaktivitäten, der hat ehrlich gesagt ohnehin ein Sprung in der Schüssel. Man arbeitet unter Windows, in einer von Microsoft erstellten Umgebung, das nennt man auch gemeinhin Heimvorteil — Software Dritter verschaft da vielleicht oberflächliche Glückseligkeit, aber nur wenns an Verstand mangelt!6

Dieses Script hier für Windows XP geht z.B. andere Wege, anstatt eine morsche Tür zu schließen, wird einfach die Wand zugemauert. Sprich nicht benötigte Dienste werden abgeschalten. Die einzig sinnvolle Methode. Desweiteren arbeitet man als User, nicht als Administrator — ist umständlicher, aber Sicherheit gibts eben nicht geschenkt. Bei Vista ist das default7 , Windows XP z.B. muß man erst derart konfigurieren8 .

Es wurde nicht nur gezeigt, dass «Personal Firewalls» keinen zusätzlichen Schutz bieten, sondern auch dass sie neue Sicherheitslücken in einem System öffnen können So kann man z.B. einen PC, auf dem Symantec Norton läuft, durch einen gezielten Angriff vom Internet abklemmen. Ein aktuelles Beispiel für solche Sicherheitsprobleme durch «Personal Firewalls» ist ein Fehler im Live Update verschiedener Symantec Produkte. (siehe Heise Security) Dieser Fehler kann zur «Privilege Escalation» genutzt werden, was bedeutet, dass sich ein Angreifer dadurch privilegierte Rechte verschaffen kann.

PFW versagen

Wichtigste Punkte sind also:

  1. Nie als Admin arbeiten
  2. Keine Personal Firewall nutzen
  3. nicht benötigte Dienste deaktivieren
  4. sich schlau machen was man da installiert und woher man es hat
  5. einigermaßen das System kennen
  6. das Netzwerk nach außen hin blocken

Völlig falsch ist:

  1. Bequemlichkeit über alles zu stellen
  2. Dummheit mit ich will nur anwenden zu entschuldigen
  3. beworbenen Sicherheitsprodukten blind Glauben zu schenken
  4. sich Dinge aus dubiosen Quellen zu besorgen
  5. nach dem Credo zu leben ich will ja nur ein wenig Sicherheit

Es gibt keine Sicherheit auf Raten, wer A sagt muß auch B sagen usw. Die Quintessenz ist einfach die, man muß konsequent vorgehen und vor allem mit Wissen, sonst hat man später mehr neue Sicherheitslücken geschaffen als denn tatsächlich welche geschlossen.

Um zum Thema Firewall zurückzukommen, es gab und gibt auch Zeitgenossen die da vermeinen doppelt hält besser. Schwere Falle, besser kann man sich kein Armutszeugnis ausstellen, schlimmstenfalls hebeln sich beide Firewalls aus, auf jeden Fall hat man eine gewaltige Performancebremse im System und einen sehr fragwürdigen Schutz. Gleiches gilt natürlich auch für die Installation mehrerer Virenscanner, weil was der eine nicht findet, findet vielleicht der andere und ein dritter findet vielleicht gar noch mehr? Man sieht wohin krankhafte Paranoia also führen kann, zu einem Betriebssystem das löchrig wie ein Sieb daherkommt.

Eines sollte man sich vor Augen halten, es stehen Sicherheitsexperten, wie man an den diversen Links sehen kann, auf der einen Seite, die vor Personal Firewalls warnen und tatsächlich effiziente Tipps zum sicheren Umgang mit Windows geben, auf der anderen Seite stehen Firmen, die diese Firewalls produzieren und irgendwelche Anwender die bar jeder tatsächlichen Erfahrung von irgendwelchen greifenden Schutzmechanismen fabulieren. Sollte einem zu denken geben. Ging mir vor vielen Monden auch so, da gehört schon ein Ruck dazu und viel Lesestoff aber es lohnt sich. Man weiß das man eine Ecke sicherer ist, man glaubt es nicht mehr 😉

Schmeißt also eure Personal Firewall weg und fangt an zu denken, denn ihr um es mal deutlicher auszudrücken, viele wissen überhaupt gar nicht wieviele Anwendungen sich schon an der PFW in der Vergangenheit vorbeimogelten — das gute nämlich daran ist, man bemerkt es nicht. Essentiell sind btw. die angefügten Links, in der Regel in Deutsch und gut verständlich — ohne diese gelesen zu haben braucht man kein Wort weiter über PFWs zu verlieren.

  1. Vorgänger war mal der aufgekaufte @guard []
  2. im üblichen Bereich von 99% 😉 []
  3. Beispiele zum Austricksen von Firewalls I, II []
  4. das Prinzip verbrannte Erde im Kopf, da mit auch wirklich kein Wissen neuerlich einziehen kann, verdeutlicht auch eindrucksvoll hier oder in der Security FAQ vom CCC und last not least noch eine FAQ []
  5. sinnigerweise muß man auch die heute stark verbreiteten Router erwähnen, diese blocken schon den Zugriff von außen, innerhalb Windows muß also folglich keine Performancebremse angezogen werden []
  6. Tests gängiger PFWs durch den CCC []
  7. Stimmen zur User Access Control, Infos von Microsoft dazu []
  8. mehr auch dazu unter NoAdmin []

RSS-Feed abonnieren