Die Philosophie der Firewall

Dieses Thema im Forum "Sicherheit" wurde erstellt von franzkat, 2. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Zu welchen schönen Blüten die Verrenkungen bezüglich Firewalls führen, zeigt sehr schön die hier im Forum häufig in Sicherheitsfragen empfohlene Seite :

    http://www.ntsvcfg.de/

    die im wesentlichen Informationen zu den NT-Diensten und ihrer Konfiguration geben will. Dort heißt es zunächst :

    Einige Zeilen später heißt es dann :

    Es folgen dann die bekannten Argumente...

    BTW : Hallo WWimmer, wußtest du überhaupt, dass
    eine Firewall ein Sicherheitskonzept ist und keine Software, die man einfach installiert ? Denke bitte mal gründlich darüber nach :aua:

    Wo der wesentliche Unterschied zwischen den sog. Desktop-Firewalls und der XP-Firewall sein soll, bleibt das Geheimnis von
    ntsvcfg.de. Einfachere Konfiguration ? OK, das ist aber nichts Wesentliches. Ein geringeres Risiko bezüglich der Manipulierbarkeit ?
    Der Witz ist gut. Folgender Batch-Einzeiler reicht, um die XP-Firewall lahmzulegen :

    netsh firewall set opmode DISABLE

    Wenn man es über ein VBS-Script machen möchte, sind es drei Zeilen :

    Set FW=CreateObject("HNet Cfg.FwMgr")
    Set OP=FW.LocalPolicy.CurrentProfile
    OP.FirewallEnabled=FALSE
     
  2. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    hallo franzkat,

    mir ist leider nicht ganz klar geworden, was du uns mit deinem beitrag sagen willst. eine aufforderung zu einem überflüssigen weiteren firewall-flame wird ja wohl hoffentlich nicht dein anliegen sein.

    dein zitat zur xp-firewall ist etwas aus dem zusammenhang gerissen. es steht unter der überschrift
    betonung auf weitere.

    die problematik der scheinsicherheit und der nicht ausreichenden security by obscurity setze ich als bekannt voraus. diese bedenken gelten natürlich auch für die xp-firewall. andererseits ist ein entscheidendes argument gegen desktop-firewalls, dass diese programme ihrerseits die installation weiteren angreifbaren codes bedingen. dies gilt naturgemäß für die xp-firewall nicht. also spricht nichts dagegen, die xp-firewall zu aktivieren, wenn man sich des problems der scheinsicherheit bewußt ist.

    die gegenüberstellung der zitate ist daher nicht ganz fair, da sich das 2. zitat eindeutig auf sog. firewalls von drittanbietern bezieht.

    weiter ist die xp-firewall die schnellste, einfachste und damit eleganteste lösung, nach einer neuinstallation relativ gefahrlos die patches runterzuladen und weitere vorkehrungen zur absicherung zu treffen, wie z.b. das script bei ntsvcfg runterzuladen.
     
  3. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    nö.

    deine erkenntnis über installierte schädlinge ist eine vorauszusetzende selbstverständlichkeit. ebenso wie die binsenweisheit, dass man landläufig unter firewall ein sicherheitskonzept und keine software versteht - oder eben verstehen sollte.

    wenn ich franzkat recht verstanden habe, wollte er wohl die differenzierung zwischen xp-firewall und anderen derartigen produkten bei ntsvcfg kritisieren. hierzu habe ich so sachlich wie es mir möglich ist meine meinung gesagt. das hat nichts mit der frage zu tun, dass man sich natürlich trotz firewall einen schädling installieren kann, der seinen meister anruft.
     
  4. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Richtig. Darum ging es mir. Ich finde es sehr inkonsequent einerseits Firewalls prinzipiell abzulehnen und andererseits aber die von XP als wichtige Sicherung zu empfehlen.Der Unterschied zwischen einer kommerziellen Desktop-Firewall und der XP-Firewall ist dabei völlig unbedeutend. Es handelt sich in beiden Fällen um Software-Firewalls.

    Nun zu MobyDucks zentralem Argument :

    Warum das für die XP-Firewall nicht gelten soll, vermag ich nicht zu sehen. Bei ihr handelt es sich doch genauso um Programm-Code wie bei den Kommerziellen. Es ist ja sogar so, dass dieser Programm-Code der XP-Firewall leichter zu deaktivieren ist als der der etwas anspruchsvolleren kommerziellen Anbieter.Das Argument mit der Scheinsicherheit ist ein sehr generelles, welches man nicht als grundsätzliches Argument gegen Firewalls ansehen kann. Auch bei der Benutzung eines Airbags ergibt sich bei unvernünftigen Zeitgenossen ein fatales Gefühl der Scheinsicherheit. Wer würde aber deshalb auf die Idee kommen, Empfehlungen gegen Airbags auszusprechen.
     
  5. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    ganz einfach. die xp-firewall installierst du mit win oder sp2 mit, ob du willst oder nicht. bei kommerziellen produkten mußt du ebenso zwangsläufig weiteren, evtl. anfälligen code installieren. es gehört aber auch zu einem von dir angesprochenen sicherheitskonzept, nur die software zu installieren, die man wirklich braucht.

    in deiner argumentation vermengst du fragen des überflüssigen codes mit fragen der scheinsicherheit. das ergebnis deiner schlussfolgerungen ist imho entsprechend unscharf.

    meines erachtens sollte man differenzieren. da die xp-firewall zwangsläufig mit installiert ist, spricht auch nichts dagegen, das entsprechende häkchen zu setzen. wenn man sich der schwächen von software-lösungen bewußt ist. nicht mehr und nicht weniger steht auf der von dir zitierten seite.

    daraus kann man jedoch nicht den umkehrschluss ziehen, dass man dann auch genauso gut produkte von drittanbietern einsetzen kann, siehe oben.

    so, es wäre noch einiges mehr dazu zu sagen, aber nur mit einer hand zu tippen ist nur zeitlich begrenzt lustig, grummel.
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    @MobyDuck

    Wenn man deine Argumentation grundsätzlich befolgen würde, dann müßte man auch Outlook als Mail-Client mehmen, weil der nun mal mit einer XP-Installation mitinstalliert wird und man um jeden Preis zusätzlichen Code auf dem Rechner (in diesem Fall einen externen Mail-Client) vermeiden müsse. Das Beispiel zeigt glaube ich deutlich, wie absurd eine solche Argumentation ist.
     
  7. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    hmm, bei mir wurde outlook nicht automatisch installiert, als ich xp aufsetzte.

    aber egal, falls du oe meinst, hinkt dein vergleich. bei der benutzung von oe oder einem schlecht konfigurierten ie schaffst du gerade durch die benutzung weitere gefahren. bei der firewall ist die benutzung schlimmstenfalls überflüssig.
     
  8. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Dann sind dir aber ganz wesentliche Dinge entgangen :

    Schau mal hier :

    http://www.pcwelt.de/forum/showthread.php?t=133059

    Also um die Sache noch mal auf den Punkt zu bringen :

    Ich halte es für hochgradig inkonsequent, wenn ich auf der einen Seite einen Standpunkt vertrete, dass Software-Firewalls grundsätzlich sinnlos bzw. gefährlich seien, auf der anderen Seite dann aber argumentiere, die von XP solle ich ruhig aktivieren, da sie nun eh schon mitinstalliert sei. Da müßte ich dann eben konsequenterweise auch empfehlen, auch diese Firewall zu deaktivieren, was ja ganz leicht möglich ist, denn das Argument der Scheinsicherheit müßte ja in diesem Fall dann auch gelten.
     
  9. Hardwaretoaster

    Hardwaretoaster Kbyte

    Registriert seit:
    1. Januar 2003
    Beiträge:
    469
    Hey, super, das Thema wollt' ich eh bald in der Schule als Referat halten, ihr habt doch bestimmt noch ein paar Links zum Thema und auch nix dagegen, dass ich die Infos dann in der Schule verwerten darf?!
     
  10. Scasi

    Scasi Ganzes Gigabyte

    Registriert seit:
    1. August 2004
    Beiträge:
    19.423
    tja, dann musst Du wohl auch mal bei http://www.eisenheim.de/ vorbeischauen und auf der rechten Seite Snake Oil - Software nachlesen ! :p
     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Tja , der Steele. Hat von dem eigentlich mal wieder jemand was gehört ?
     
  12. Scasi

    Scasi Ganzes Gigabyte

    Registriert seit:
    1. August 2004
    Beiträge:
    19.423
    Nö, bei ihm im Forum wird auch nur spekuliert und selbst die MODs wissen nix ! schade eigentlich ...
     
  13. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Der kann doch aber nicht vom Erdboden verschwunden sein.
     
  14. MobyDuck

    MobyDuck Byte

    Registriert seit:
    10. September 2004
    Beiträge:
    52
    sorry, wenn ich inzwischen den gemütlichen plausch über iron störe, aber ich konnte nicht eher antworten.

    unsinn. du wirst mir doch wohl nicht allen ernstes weis machen wollen, dass diese lücke mit deaktivierter firewall geschlossen ist.

    ich will dir nicht zu nahe treten, aber langsam kommt es mir so vor, als ob du händeringend nach argumenten suchst, um recht zu behalten. dabei bewegst du dich immer weiter von deinem eingangsposting weg. das brauchst du nicht. ich will dir nichts.

    doch zurück zu deiner argumentation. der einwand der scheinsicherheit gilt natürlich auch bei der xp-firewall, da hast du recht. vielleicht sind dir jedoch meine diesbezüglichen einschränkungen oben nicht entgangen. die unterschiedliche behandlung der firewalls - über die du dich ursprünglich mokiert hast - begründet sich nicht in der scheinsicherheit, sondern in anderen überlegungen, siehe ebenfalls oben. natürlich geht die welt nicht unter, wenn man bei einem entsprechend abgesicherten system die xp-firewall abschaltet. aber man kann genauso gut umgekehrt fragen, warum man das tun sollte. es schadet imho doch nichts. komme mir jetzt bitte nicht mit dem zweifelhaften Steele'schen hidden-argument. wo kein dienst ist, spielt es auch keine rolle, ob eine antwort auf ein ping kommt oder nicht.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen