-
Security (2)
-
Linux-Security (10)
-
Firewalls (3)
-
Cryptography (2)
-
Firewalls (3)
- Windows-Security (2)
-
Cryptology (1)
-
Programmierung (1)
-
PHP (2)
-
PHP (2)
-
Linux-Security (10)
-
Be-paranoid.net (-2)
- Viren & Würmer (2)
- Hints (1)
- Buchtipps (1)
- Offtopic (7)
- Programmieren (5)
- Honeypots (1)
- Linux Security (2)
- Cryptology (1)
- Datenschutz (3)
- Viren & Würmer (2)
Hexblog
SEppl's Blog
Rabenhorst
The Daily WTF
Otrn Blog
Userfriendly
Schneier on Security
Planet SELinux & News
Heise
SecurityFocus
Open4Free Blog
xkcd
|_|_|0|
|0|0|0|
Be-Paranoid.net
Sicherheitsanalyse Personal Firewall
Orginal Version | Artikel editieren | Versionen anzeigen | Bottom
Letzte Änderung: 17.01.2008, 16:25
Inhaltsverzeichnis
- Was macht ein Personal Firewall?
- Zwei Angriffstypen
- Angriffs-Möglichkeiten
- Die Popups
- Kleine Abschweifung: ICMP
- Fazit
Ein Personal Firewall ist eine Software die als Filter für den Endbenutzer agiert. Beispiele: Zonealarm, Norton Personal Firewall,...
Die Medien haben das Wort Firewall (damit sind Personal Firewalls gemeint) in den letzten Jahren zum Schlüsselwort für den rundum-Schutz gemacht. In den PC-Magazinen liest man immer wieder über neue Tests der Produkte, und AOL verspricht einen integrierten Firewall, der vor "Hackern" schützt.
Dieser Text analysiert die Funktionen der Personal Firewalls, und deren Sinn.
Was macht ein Personal Firewall? Top
- Packet Filter
Der Personal Firewall unterbindet die Verbindung über einen Port.
Ein Programm, das im Internet kommunizieren will öffnet einen von 65535 Ports, über welchen es kommuniziert. Damit kann der Computer die Verbindung dem Programm zuordnen.
Im Normalfall ist der Webserver an den Port 80 gebunden. Wenn ein anderer Computer auf den Webserver zugreifen will, erhält der Webserver eine Anfrage ob der Port 80 offen ist. Wenn dies der Fall ist gehen alle anfragen ( Requests ), die den Port 80 betreffen, zum Webserver.
- Schwaches IDS (Intrusion Detection System)
Ein IDS versucht Angriffs-Muster zu erkennen.
- Programm Port öffnen lassen unterbinden
Der Personal Firewall schaut in seiner Regel-Liste nach, ob ein Programm einen Port öffnen darf. So kann man verhindern, dass z.B. Standard-Dienste vom Betriebssystem einen Port öffnen.
Damit wir uns darüber im klaren sind, wovor uns ein Personal Firewall schützen soll, d.h. was einen potentiellen Angriff darstellt, gehen wir die verschiedene Angriffsszenarien durch.
Zunächst sollten wir uns darüber im klaren sein, dass ein System nicht dafür entwickelt wird, dass es angegriffen wird, d.h. es gibt kein ultimatives Programm, welches ein System knackt.
Zwei Angriffstypen Top
Grundsätzlich können wir bei einem Heimanwender-System von zwei Angriffen ausgehen:
- Eingabedaten
Beispielsweise hat eine Scriptsprache eine Sicherheitslücke, so das man mit einem Word-Makro einen Virus bekommt. Buffer-Overflows bei welchen man schlechte Programmierung ausnützt (der Programmierer hat z.B. 30 Zeichen für ein Feld vorgesehen, der Angreifer verschickt 35 Zeichen, die 5 restlichen Zeichen überschreiben anderen Speicher) sind das beliebteste Ziel.
- Fehlentscheidungen von Benutzern (sozial engineering):
Der Benutzer öffnet ein infiziertes Programm, z.B. eine *.vba Datei in einer Mail, welches das System kompromittiert. Ein Personal Firewall kann das nicht verhindern, da er keinen Content filtert, sondern nur auf Ports überprüft.
Angriffs-Möglichkeiten Top
Personal Firewalls selbst agieren nur im user-space, d.h. sie haben keinen direkten Systemzugriff und sie haben nicht mehr Rechte als normale Programme. Jedes andere Programm kann bei einer Popup-Meldung der Personal Firewall auf "Ja" klicken, oder den PF beenden. D.h. wenn ein Programm das System kompromittiert hat, kann der Personal Firewall überhaupt nichts mehr gegen das Programm unternehmen.
Die Popups Top
Die meisten Personal Firewalls öffnen bei einem potentiellen Angriff standardmäßig Popups, in welchen steht, dass ein Angriff stattgefunden hat.
Diese Popups haben aber, meiner Meinung nach, nicht den Zweck zu warnen, sondern sind eher eine Marketing Strategie der Hersteller.
Wenn ein Popup mit dem Text: " The firewall has blocked Internet access to your computer (ICMP echo Request ('Ping')) from 212.144.x.x" geöffnet wird, dann klingt das für die meisten User nach einem Angriff.
In Wahrheit ist das eine einfache Abfrage ob ein PC an die IP-Adresse gebunden ist, nichts gefährliches, ich könnte das gerade in diesem Moment bei ihrem PC machen, ohne das ich Sie angreifen will.
Ich denke diese "Warnungen" sollen beim Benutzer die "absolute Sicherheit" vermitteln, und zeigen wieviel "Hacker" der Personal Firewall geblockt hat.
Kleine Abschweifung: ICMP Top
Wo wir schon beim Thema ICMP sind:
Das Protokoll ICMP wurde nicht nur zur Erleichterung der Administration entwickelt, sondern ist auch dafür verantwortlich das unsere Netzwerke und das Internet überhaupt funktionieren.
Ohne ICMP klappt z.B. die Fragmentierung von bestimmten Paketen (Stichwort: Path MTU) nicht.
Wenn Sie ICMP abschalten, dann gefährden Sie erstens das Internet, und zweitens erreichen Sie damit nichts.
Warum? Der Personal Firewall kann nicht zurücksenden, dass der Computer nicht existiert, sondern er kann nur die Nachricht, dass der Dienst (momentan) nicht zur Verfügung steht zurücksenden.
Fazit Top
Die Hauptaufgabe von Personal Firewalls besteht darin das Öffnen von Ports von Programmen zu unterbinden (bzw. den Verkehr über bestimmte Ports). Wenn man diese Programme von Anfang an abschaltet (www.dingens.org schaltet übrigens die Standard-Dienste unter Windows; unter Linux /etc/inetd.conf), und nicht alles öffnet was bunt ist, dann könnte man auch ohne Personal Firewall auskommen.
Ungenützte Ports geschlossen halten ist sicher die elegantere Lösung.
Eine Kommunikation nach außen kann der Personal Firewall nicht wirklich verhindern (wenn das jemand will, dann schafft er es), die Kommunikation könnte z.B. über den HTTP (Webseiten) Port, oder über die Namensauflösung (Name wird in IP-Addresse umgewandelt) verlaufen, oder der Firewall könnte einfach abgeschaltet werden.
Allerding kann ein Firewall die Sicherheit auch verbessern, und ich denke wenn man sich nicht gut mit dem System auskennt, kann er ein Zuwachs an Sicherheit bedeuten, wenn man ihn, und den Virescanner nicht Objekt sieht das perfekte Sicherheit schafft. Man kann einen Personal Firewall zwar immer abschalten, aber die meisten Programme werden nicht auf jeden Personal Firewall eingehen.
Als nicht sehr erfahrener Nutzer würde ich einen Personal Firewall benutzten, aber bei Leute die die Gefahren kennen, und mit ihnen umgehen, und sie vermeiden können ist ein Personal Firewall meiner Meinung nach unnötig.
Ob man einen Personal Firewall benutzt muss jeder selbst entscheiden, es ist aber ein zusätzliches Stück Software, welches wiederum Sicherheitslücken haben könnte, und RAM/CPU verbraucht.
Ich hoffe, dass ich damit das Konzept von Personal Firewalls erläutert habe und dass ich einige Leser dazu bringen konnte, ihrem Firewall nicht zu sehr zu vertrauen.
Sicherheit kann man nicht mit einem Schalter (oder mit Software) ein und aus schalten (gilt vor allem für's Einschalten
). Man muss sie immer im Hinterkopf behalten.
mfg. BLD
Orginal Version | Artikel editieren | Versionen anzeigen | Top
Letzte Änderung: 17.01.2008, 16:25