Hallo!

Hier wird ja des öfteren über den Sinn und Unsinn von Personal-Firewalls diskutiert. Leider ist der letzte Thread dazu bereits im Archiv.

Hier mal eine aktuelle Meldung zum Thema:
http://cert.uni-stuttgart.de/archive/win-sec-ssc/2004/05/msg00036.html
http://securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html
(und das ist nicht die erste von dieser Sorte)

Ich zitiere einmal:

Bei der Behandlung von DNS (Domain Name Service) Antworten kann ein
Buffer Overflow durch ein entsprechend konstruiertes CNAME Feld
ausgeloest werden (CAN-2004-0444). Laut Angaben von eEye Digital
Security kann die Schwachstelle auch dann ausgenutzt werden, wenn
alle Ports durch die Firewall gesperrt werden.

und weiter heißt es...

Die Schwachstellen lassen sich von einem entfernten Angreifer durch
entsprechend konstruierte DNS und NetBIOS Paketen ausnuzten, um
beliebige Befehle mit den Rechten des Systems auszufuehren. Beachten
Sie bitte, dass die IP Absenderadresse beim UDP Protokoll leicht
gefaelscht werden kann.

Heißt also - selbst wenn mein System eigentlich nicht angreifbar wäre, habe ich mir mit den dort genannten Produkten ein zusätzliches Sicherheitsrisiko eingehandelt. Und in diesem Fall kein unerhebliches, auch weiß man nicht wie viele Fehler von der Sorte noch nicht behoben sind...

Würde man sich mal ein wenig Zeit nehmen sein (bekanntermaßen per default sehr unsicher konfiguriertes) Windows-System sicher zu konfigurieren und würde es zudem auf neustem Stand halten, könnte man über solche Probleme, Sasser, Lovesan und was da noch so folgen wird, nur müde lächeln[1]. Man bedenke, dass jemand mit etwas mehr Sachverstand als der Sasser- oder Lovesan-Autor erheblich länger unerkannt bleiben kann, und so erheblich größeren Schaden anrichten kann. Der ganze Trubel um Sasser und Lovesan entstand ja nur, weil selbst der größte DAU einen Reboot bemerkt, den er mit ziemlicher Sicherheit nicht selber verursacht hat ;-)

Weitere Informationen zum Thema "Sichere Konfiguration von Windows" gibt es unter: http://www.ntsvcfg.de/

Meiner Meinung nach _darf_ man in der heutigen Zeit einfach keinen Windows-Rechner gleichzeitig direkt an das Internet und an ein lokales Netzwerk anschließen. Dafür enthalten die für ein lokales Netzwerk verwendeten Windows-Dienste schlichtweg zu viele Fehler. Wenn man so etwas benötigt, sollte man ein Gateway(z.B. ISDN/DSL-Router) verwenden, um das Netzwerk vom Internet abzuschotten. Und sonst, wenn man sowieso nur einen Rechner verwendet - dann macht es ja schonmal überhaupt keinen Sinn die ganzen anfälligen Dienste (die man in diesem Fall ja nie brauchen kann) laufen zu lassen, und dann noch mit zusätzlicher, potentiell fehlerbehafteter Software versuchen, das Ganze irgendwie zu flicken(Personal Firewall). Denn zum einen macht eine Firewall grundsätzlich nur Sinn wenn man genau weiß was man tut (das heißt, dass man sich mit den Netzwerk-Protokollen auskennt), und wie man hier wunderbar sieht holt man sich damit auch ein zusätzliches Sicherheitsrisiko auf den Rechner. Dazu kommt, dass das _Betriebssystem_ jedes über das Netzwerk empfangende Paket als erstes entgegennimmt, so dass eine Personal Firewall auf dieser Ebene sowieso nutzlos ist, denn wenn hier ein Fehler ausgenutzt werden kann, kommt die Firewall eh zu spät.

So, das wollte ich einfach mal in den Raum stellen ;-)

Viele Grüße
Andreas

[1]: Alternativ ist hier natürlich die Verwendung von Linux zu nennen ;-)