Moin,

Eine Firewall ist ansich das überflüssigste, was es an Software gibt

Ich stimme dir größtenteils zu, aber bitte ersetze doch Firewall durch Personal bzw. Desktop Firewall oder wenigstens 'Firewall'. Eine Firewall[tm] ist ein Konzept, seine Umsetzung in Software und/oder Hardware und deren Wartung. Und das ist keinesfalls überflüssig, sondern in höchstem Maße gefordert, wenn mehrere Nutzer in einem Netz dadurch geschützt werden sollen. Häufig (== eigentlich immer) wird auch eine Sicherheitspolicy die von jedem User verstanden und unterschrieben werden muß teil dieses Konzeptes sein.

entweder der Request wird einfach kommentarlos abgewiesen, als ob da nichts wäre (also _exakt_ das gleiche was massiert, wenn der Dienst selbst anständig konfiguriert wäre), oder [..] eine Meldung im Sinne von "ätsch, du darfst hier nicht durch, da mussu erst die Firewall austricksen!" zurücksenden. Diese kann man wohl durchaus als Einladung an böse Geister verstehen.

Jupp, bloss, dass auf TCP/IP-Ebene das normale Abweisen in Form eines TCP-RST- oder ICMP-Unreachable-Pakets erfolgt und das "ätsch, bitte tricks' mich aus" in Form von gar keiner Antwort.

Abarten davon reagieren schon, wenn jemand den eigenen PC pingt - ich stelle mir gerade vor, wenn alleine ein Ping-Melder bei heise.de liefe ;)

Grade diese (aber auch etwas seriösere Programme, wenn man davon reden kann) neigen dazu überhaupt alle Pakete die von aussen kommen wegzuschmeissen. Da gab es in dcsf mal diesen schönen Fall (ist jetzt halb rekontruiert): In einem Wohnheimsnetz ging die Windows-Namensauflösung (also Netzwerkumgebung durchsuchen) nicht mehr richtig. Unter anderem war auch ein Rechner mit 'Firewall' beteiligt. Erklärung: Beim Windowsnetzwerk wird in der Regel ein Master Browser gewählt, der eine Namensliste verwaltet und dementsprechend Anfragen beantwortet. Sobald jetzt dieser "geschützte" Rechner ins Netz kam, hat er eine Neuwahl des Master Browsers ausgerufen (das kann afaik jeder) in der normalerweise alle Rechner die bereit sind neuer Master Browser zu werden ihre Fähigkeiten (besonders wichtig ist die Betriebssystemversion) mitteilen und anschließend im gemeinsamen Konsens einer gewählt wird (idR wird das der aktuelle Master Browser sein). Der betreffende Rechner wurde jetzt aber von seiner 'Firewall' vor den "bösen" Paketen der anderen Rechner und den Empöhrungsschreien des aktuellen Master Browsers "geschützt" und hat sich in der Konsequenz zum neuen Master Browser ausgerufen. Da die 'Firewall' sowohl Namensmeldungen als auch Anfragen weggeschmissen hat, war's Essig mit dem browsing.

Ähnlich extreme Nebenwirkungen gibt es in anderen Bereichen durch das Verwerfen von ICMP-Paketen allgemein (nicht nur Pings), vor allem auf einem Server wäre das tötlich. Das fängt beim bereits erwähnten Destination Unreachable an - der Rechner kriegt nicht mehr mit, wenn der Zielrechner nicht erreichbar ist, und probiert so lange zu verbinden bis irgendein Timeout zuschlägt, schlimmer noch ist die Auswirkung auf Path MTU Discovery, welches explizit Unreachables erzwingen will - und hört Explicit Congestion Notification - ein relativ neuer Internetstandard (RFC 3168 ist von September 2001), benutzt vormals unbenutzte Bits - dass ich sogar schon bei richtigen Firewalls (Webserver großer Firmen) blockiert gesehen habe, noch lange nicht auf.

--
Henryk Plötz
Grüße von der Ostsee