Wen schützt eigentlich eine Firewall?
Robert Bienert
- software
0 Der Martin0 Hamstar0 Vinzenz Mai0 Bio0 Jörg Peschke0 Bio
0 Robert Bienert
0 _roro
Moin!
Genau diese Frage, wen eine Firewall eigentlich schützt und wen sie schützen sollte, stelle ich mir seit einer halben Stunde. Meine Mutter hat sich vor kurzem ein neues Notebook gekauft (IBM mit Windows XP und nervendem TPM-Chip) und konnte heute Abend auf einmal kein Online-Banking mehr machen. Nachdem die Kartenvorbestellung beim Theater auch nicht funktionierte kam mir die Idee, dass es ein Problem mit SSL geben könnte. Also habe ich den Browser abgesucht, aber sowohl SSL als auch (vorsichtshalber) aktivierte Cookies ließen keine verschlüsselten Seiten zu. Mehr durch Zufall als auch Intuition fand ich dann heraus, dass die Personal Firewall von Norton daran schuld ist:
Aus welchen Gründen auch immer – wenn ein Programmierer von Symantec hier herum geistert, kann er die gerne mal erläutern – blockt dieses Stück Code standardmäßig _gesicherte Verbindungen_ ins Internet. Ich dachte, verschlüsselte HTTP-Verbindungen sein besser als ungesicherte, aber anscheinend nicht für Symantec. Was soll denn das?
Viele Grüße von einem, der froh ist, einen Mac zu haben,
Robert
Hallo,
Genau diese Frage, wen eine Firewall eigentlich schützt und wen sie schützen sollte, stelle ich mir seit einer halben Stunde.
spontan würde ich sagen: Das Betriebssystem, die Software, den Rechner dahinter.
Mehr durch Zufall als auch Intuition fand ich dann heraus, dass die Personal Firewall von Norton daran schuld ist:
Ohje, dann ist IMHO das beste, was man noch tun kann, das System komplett (und ich meine von Null an) neu zu installieren. Und zwar, nachdem man alles, was Symantec heißt, vorher verbrannt oder sonstwie entsorgt hat. Windows ist jedenfalls erfahrungsgemäß nicht mehr zu retten, nachdem mal ein Symantec-Produkt installiert ist.
Aus welchen Gründen auch immer – wenn ein Programmierer von Symantec hier herum geistert, kann er die gerne mal erläutern – blockt dieses Stück Code standardmäßig _gesicherte Verbindungen_ ins Internet. Ich dachte, verschlüsselte HTTP-Verbindungen sein besser als ungesicherte, aber anscheinend nicht für Symantec. Was soll denn das?
Das hat wahrscheinlich einen ganz einfachen Grund: SSL-Verbindungen kann die Symantec-Software nicht belausc^Wüberwachen, also lässt sie sie lieber erst gar nicht zu.
So long,
Martin
Moin!
Genau diese Frage, wen eine Firewall eigentlich schützt und wen sie schützen sollte, stelle ich mir seit einer halben Stunde.
spontan würde ich sagen: Das Betriebssystem, die Software, den Rechner dahinter.
Das dachte ich ja auch.
Mehr durch Zufall als auch Intuition fand ich dann heraus, dass die Personal Firewall von Norton daran schuld ist:
Ohje, dann ist IMHO das beste, was man noch tun kann, das System komplett (und ich meine von Null an) neu zu installieren. Und zwar, nachdem man alles, was Symantec heißt, vorher verbrannt oder sonstwie entsorgt hat. Windows ist jedenfalls erfahrungsgemäß nicht mehr zu retten, nachdem mal ein Symantec-Produkt installiert ist.
Wie sieht denn die Neuinstallation eines Windows-OEM-Systems (Notebook halt) aus, klappt das reibungslos oder gibt es da Stolperstellen? Es gab ja mal Windows-Versionen, die keine Neuinstallation, sondern nur eine Wiederherstellung zuließen. Kann ich den Rechner mit Bordmitteln formatieren oder brauche ich da wieder ein tolles Tool™ für?
Aus welchen Gründen auch immer – wenn ein Programmierer von Symantec hier herum geistert, kann er die gerne mal erläutern – blockt dieses Stück Code standardmäßig _gesicherte Verbindungen_ ins Internet. Ich dachte, verschlüsselte HTTP-Verbindungen sein besser als ungesicherte, aber anscheinend nicht für Symantec. Was soll denn das?
Das hat wahrscheinlich einen ganz einfachen Grund: SSL-Verbindungen kann die Symantec-Software nicht belausc^Wüberwachen, also lässt sie sie lieber erst gar nicht zu.
Und wo ist da der Sicherheitsgewinn für den Kunden? Hoffentlich schaut hier einer von Symantec vorbei, ich will das jetzt wissen!
Viele Grüße,
Robert
Das hat wahrscheinlich einen ganz einfachen Grund: SSL-Verbindungen kann die Symantec-Software nicht belausc^Wüberwachen, also lässt sie sie lieber erst gar nicht zu.
Und wo ist da der Sicherheitsgewinn für den Kunden? Hoffentlich schaut hier einer von Symantec vorbei, ich will das jetzt wissen!
Es werden halt bestimmte Ports überwacht und erst auf Rückfrage ggf. bestimmten Prozessen freigegeben. Das ist an und für sich schon ein feature.
Allerdings hat 'Der Martin' wohl absolut recht, was Symantec-Produkte betrifft, ich habe da auch schlechte Erfahrungen.
Hallo Robert,
Wie sieht denn die Neuinstallation eines Windows-OEM-Systems (Notebook halt) aus, klappt das reibungslos oder gibt es da Stolperstellen?
das kann dir leider keiner im Voraus sagen - die OEMs haben da ziemlich freie Hand bei der Konfiguration ihrer Installations- oder Recovery-CDs. Wenn du Glück hast, ist deine CD eine vollwertige Setup-CD, von der alles auf Anhieb klappt; es kann aber ebensogut sein, dass sie wirklich nur eine Wiederherstellung eines Grundzustands unter Verlust aller Anwenderdaten ermöglicht.
Wobei mein Rechtsempfinden immer noch sagt, dass auch bei einer OEM-Version eine komplette Neuinstallation möglich sein muss. Ich hätte auch die Unverfrorenheit, mein System von einer geliehenen Vollversions-CD zu installieren; auf den Rechtszoff würde ich es ankommen lassen. Aber ich möchte hier niemand zu Schritten anstiften, die in den Lizenzbestimmungen nicht einwandfrei abgesegnet sind ...
SSL-Verbindungen kann die Symantec-Software nicht belausc^Wüberwachen, also lässt sie sie lieber erst gar nicht zu.
Und wo ist da der Sicherheitsgewinn für den Kunden?
Naja, die meisten Windows-Firewalls sind keine reinen Firewalls, sondern enthalten zusätzlich Content-Filter, die IE & Co vor möglicherweise schädlichen Inhalten bewahren. Zum Beispiel indem sie ActiveX-Objekte in Webseiten ausfiltern, ausführbare Dateien als Mail-Attachments neutralisieren usw. Dieses Content Filtering können sie bei SSL-Verbindungen eben nicht durchführen. Und wenn wir den Leuten schon nicht abgewöhnen können, Kaugummi in die Ecken zu spucken, dann lassen wir sie sicherheitshalber gar nicht erst in die Ecken. ;-)
Hoffentlich schaut hier einer von Symantec vorbei, ich will das jetzt wissen!
Wäre tatsächlich interessant, ja!
Ciao,
Martin
Hi,
Wie sieht denn die Neuinstallation eines Windows-OEM-Systems (Notebook halt) aus, klappt das reibungslos oder gibt es da Stolperstellen? Es gab ja mal Windows-Versionen, die keine Neuinstallation, sondern nur eine Wiederherstellung zuließen. Kann ich den Rechner mit Bordmitteln formatieren oder brauche ich da wieder ein tolles Tool™ für?
haaaaaalt - sagtest du IBM Laptop? Dann gibts schonmal nirgendwo CDs, die bekommt man nur auf Anfrage und möglicherweise gegen Gebühr (je nach Freundlichkeit des Telefonpersonals) vom IBM-Support. Wiederherstellen tut man sie normalerweise mittels IBM Rescue And Recovery, einem Tool, dass in der 4-6GB großen Maintenance Partition am Ende der Festplatte wohnt. Erreichen tut man es, wenn man während des Bootens die blaue Taste drückt, man erreicht dann die sog. IBM Predesktop Area, von der aus man Sicherungen anlegen und wiederherstellen kann.
Was du nach einer Wiederherstellung bekommst ist genau der Auslieferungszustand ab Werk, samt Treibern und Softwarepaket, in jüngerer Zeit Norton Antivirus 90 Tage, Google Desktop und einem Bündel an IBM Software.
MfG
Rouven
Moin!
haaaaaalt - sagtest du IBM Laptop? Dann gibts schonmal nirgendwo CDs, die bekommt man nur auf Anfrage und möglicherweise gegen Gebühr (je nach Freundlichkeit des Telefonpersonals) vom IBM-Support.
Nönönö. Es sind CDs dabei, allerdings konnte ich noch nicht schauen, was für welche, da das Gerät im Büro steht. Und wenn einer für so etwas von mir zur Verantwortung gezogen wird, dann ist es der Händler, schließlich schmückt der seinen Laden mit einem „Notebook-Center“ und behauptet, dass er auf Geschäftskunden spezialisiert sei.
Wiederherstellen tut man sie normalerweise mittels IBM Rescue And Recovery, einem Tool, dass in der 4-6GB großen Maintenance Partition am Ende der Festplatte wohnt. Erreichen tut man es, wenn man während des Bootens die blaue Taste drückt, man erreicht dann die sog. IBM Predesktop Area, von der aus man Sicherungen anlegen und wiederherstellen kann.
D.h. jetzt was? Sicherungen meiner persönlichen Daten oder eine „Konkurrenz“ zur Systemwiederherstellung von Windows?
Was du nach einer Wiederherstellung bekommst ist genau der Auslieferungszustand ab Werk, samt Treibern und Softwarepaket, in jüngerer Zeit Norton Antivirus 90 Tage, Google Desktop und einem Bündel an IBM Software.
D.h. ich habe nichts dazugewonnen und müsste konsequenterweise das OEM-Windows-XP verkaufen und mir ein neues kaufen, um den Schrott loszuwerden?
Viele Grüße,
Robert
Hallo
Wie sieht denn die Neuinstallation eines Windows-OEM-Systems (Notebook halt) aus, klappt das reibungslos oder gibt es da Stolperstellen?
Nicht unbedingt reibungsfrei, aber recht problemlos, wenn man die Sache gut vorbereitet angeht.
Es gab ja mal Windows-Versionen, die keine Neuinstallation, sondern nur eine Wiederherstellung zuließen.
Hehe, das geht mit ThinkPads normalerweise wirklich extrem einfach. Ist aber nicht das, was Du wünschst.
Kann ich den Rechner mit Bordmitteln formatieren oder brauche ich da wieder ein tolles Tool™ für?
Das hängt davon ab, was beim Rechner Deiner Mutter dabei war. Sehr viele Notebooks - und gerade auch IBM-Rechner - bringen neben dem eingebauten Wiederherstellungsmechanismus keinen Datenträger zur Windows-Installation mit. Typischerweise findest Du jedoch irgendwo einen Ordner I386, in dem sich alle für die Windows-XP-Installation relevanten Dateien befinden. Sichere diesen zuerst auf eine CD :-) Stelle aus diesen Daten eine Installations-CD zusammen. Bei der c't gab es ein nettes grafisches Frontend (ca. 275 kB) für diese Aufgabe, das ausgezeichnet funktioniert. Du benötigst nur noch eine Software, die ein ISO-Image brennen kann - sollte es ja auf Deinem Mac geben :-)
Ach ja: Selbstverständlich ist diese Vorgehensweise völlig legal.
Freundliche Grüße
Vinzenz
Aus welchen Gründen auch immer – wenn ein Programmierer von Symantec hier herum geistert, kann er die gerne mal erläutern – blockt dieses Stück Code standardmäßig _gesicherte Verbindungen_ ins Internet.
SSL sollte nicht geblockt werden, sondern nur bestimmte Ports.
Moin!
Aus welchen Gründen auch immer – wenn ein Programmierer von Symantec hier herum geistert, kann er die gerne mal erläutern – blockt dieses Stück Code standardmäßig _gesicherte Verbindungen_ ins Internet.
SSL sollte nicht geblockt werden, sondern nur bestimmte Ports.
Die Firewall-Einstellung heißt „Gesicherte Verbindungen blocken“ und macht standardmäßig ausgehende Verbindungen nach Port 443 (HTTPS) dicht. Gibt es denn ausgehende SSL-Verbindungen, die man lieber nicht zulassen möchte?
Viele Grüße,
Robert
hi,
Gibt es denn ausgehende SSL-Verbindungen, die man lieber nicht zulassen möchte?
Beispielsweise die eines bösen Programms, welches sich der normalen IE-Komponenten bedient, um darüber Code nachzuladen oder ausspionierte Daten nach draussen zu senden ...
Aber da dies nicht wirklich von einer "normalen" Aktion unterschieden werden kann, ist so eine "Blockung" eher hinderlich als nützlich.
gruß,
wahsaga
Hallo Robert,
Genau diese Frage, wen eine Firewall eigentlich schützt und wen sie schützen sollte, stelle ich mir seit einer halben Stunde. Meine Mutter hat sich vor kurzem ein neues Notebook gekauft (IBM mit Windows XP und nervendem TPM-Chip)
IBM oder Lenovo? Bei neu vermute ich letzteres.
und konnte heute Abend auf einmal kein Online-Banking mehr machen. Nachdem die Kartenvorbestellung beim Theater auch nicht funktionierte kam mir die Idee, dass es ein Problem mit SSL geben könnte. Also habe ich den Browser abgesucht, aber sowohl SSL als auch (vorsichtshalber) aktivierte Cookies ließen keine verschlüsselten Seiten zu. Mehr durch Zufall als auch Intuition fand ich dann heraus, dass die Personal Firewall von Norton daran schuld ist:
Meine Meinung zu Symantec-Produkten deckt sich mit Martins Meinung. Im Gegensatz zu Martin halte ich sämtliche Personal Firewalls für Windows XP von Drittanbietern für überflüssige Software, die die Betriebssystemstabilität gefährden. Der Paketfilter von Windows XP ist völlig ausreichend. Aber auch diesen sollte man konfigurieren können - das dazu erforderliche Wissen traue ich Dir zu.
Aus dem I386-Verzeichnis, das sich auf dem ThinkPad (es ist doch ein ThinkPad) befindet, kannst Du Dir eine bootfähige Installations-CD für Windows XP erzeugen. Falls Du Fragen dazu hast, einfach hier stellen.
Führe nach der Datensicherung die Neuinstallation nach dem Geschmack Deiner Mutter durch. Sichere später die Daten zurück.
Freundliche Grüße
Vinzenz
zufriedener IBM-ThinkPad-Benutzer, der als erstes das vorinstallierte Windows XP durch ein selbstinstalliertes und konfiguriertes Windows XP ersetzt hat. Ja, da waren auch Symantec-Produkte dabei :-)
Moin!
[…] Meine Mutter hat sich vor kurzem ein neues Notebook gekauft (IBM mit Windows XP und nervendem TPM-Chip)
IBM oder Lenovo? Bei neu vermute ich letzteres.
Ich auch, da der (bislang nur für Windows-Update und zum Mozilla-ziehen) benutze MSIE lenovo.de oder so als Startseite hat.
[…] Im Gegensatz zu Martin halte ich sämtliche Personal Firewalls für Windows XP von Drittanbietern für überflüssige Software, die die Betriebssystemstabilität gefährden. Der Paketfilter von Windows XP ist völlig ausreichend. Aber auch diesen sollte man konfigurieren können - das dazu erforderliche Wissen traue ich Dir zu.
Dann werde ich mir denn einmal genauer anschauen. Allein die Grundkonfiguration sah schon recht gut aus, aber da Norton drauf war, habe ich mich damit noch nicht genauer beschäftigt.
Aus dem I386-Verzeichnis, das sich auf dem ThinkPad (es ist doch ein ThinkPad) befindet, kannst Du Dir eine bootfähige Installations-CD für Windows XP erzeugen. Falls Du Fragen dazu hast, einfach hier stellen.
Wie Rouven beschreibt gibt es diese blaue Taste für „IBM Rescue And Recovery“ und das Gerät ist nur wenige Wochen alt. Funktioniert das da auch, dieses Verzeichnis gibt es jedenfalls?
Soviel Aufwand für ein „Gerät von der Stange“. Mein iBook war billiger und ich brauchte es nur auszupacken und einzuschalten.
Viele Grüße,
Robert
Hallo
Soviel Aufwand für ein „Gerät von der Stange“.
Ja, siehe https://forum.selfhtml.org/?t=140114&m=910326.
Mein iBook war billiger und ich brauchte es nur auszupacken und einzuschalten.
Sagen wir mal so: Das wirklich nervende und überflüssige ist der Symantec-Kram.
Auf die Access Connections möchte ich nicht mehr verzichten, da ich sehr häufig in den verschiedensten (Netzwerk-)Umgebungen arbeiten muss, ebenso mag ich den Präsentationsdirektor, der mir den Umgang mit den verschiedenen Beamern erleichtert. Da bin ich einfach bequem.
Freundliche Grüße
Vinzenz
Sup!
Die Firewall schützt Dich davor, dass jemand aus dem Internet Verbindungen mit Programmen auf Deinem Rechner herstellen kann, und ggf. auch davor, dass Programme von Deinem Rechner aus ohne Deine Zustimmung Verbindungen zu Rechnern im Internet herstellen können.
Die "Sicherung" der Verbindung erfolgt dabei nicht auf IP-Ebene, sondern ein paar Ebenen höher, darum ist SSL/kein SSL für die Firewall total egal.
Wenn alle Programme auf Deinem Rechner super-toll implementiert wären und nur Programme drauf wären, denen Du vertraust, wenn also Dein Rechner total un-hack-bar wäre, bräuchtest Du keine Firewall. Da aber Programme i.A. nicht un-hack-bar sind, schützt Dich die Firewall davor, dass jemand überhaupt so weit kommt, dass er die Programme aufzuhacken versuchen kann - denn dafür muss erstmal eine Verbindung zustande kommen.
Gruesse,
Bio
Moin,
Die "Sicherung" der Verbindung erfolgt dabei nicht auf IP-Ebene, sondern ein paar Ebenen höher, darum ist SSL/kein SSL für die Firewall total egal.
Nicht ganz. SSL-Verbindungen laufen i.d.Regel über Port 443, HTTP über 80.
Wenn die Firewall Port 443 für ausgehende Verbindungen blockiert, hat man ein Problem...
Gruesse,
Joerg
Sup!
Nicht ganz. SSL-Verbindungen laufen i.d.Regel über Port 443, HTTP über 80.
Nun... TCP und UDP sind aber zumindest eine Ebene über IP. Und SSL ist dann nochmal eine Ebene höher - also habe ich Recht, ätsch! ;-)
Gruesse,
Bio
Moin!
Die Firewall schützt Dich davor, dass jemand aus dem Internet Verbindungen mit Programmen auf Deinem Rechner herstellen kann, und ggf. auch davor, dass Programme von Deinem Rechner aus ohne Deine Zustimmung Verbindungen zu Rechnern im Internet herstellen können.
Das sollte (!) eine Firewall machen, tut sie im vorliegenden Fall aber nicht, weil sich ein „schlauer“ Mensch überlegt hat, dass es bestimmte Ports gibt, die sehr häufig und meist in guter Absicht benutzt werden, z.B. 80 für HTTP und hat daher diese Ports freigeschaltet.
Die "Sicherung" der Verbindung erfolgt dabei nicht auf IP-Ebene, sondern ein paar Ebenen höher, darum ist SSL/kein SSL für die Firewall total egal.
Auf welcher Ebene arbeitet denn eine Firewall und auf welcher Ebene ist es sinnvoll?
Wenn alle Programme auf Deinem Rechner super-toll implementiert wären und nur Programme drauf wären, denen Du vertraust, wenn also Dein Rechner total un-hack-bar wäre, bräuchtest Du keine Firewall. Da aber Programme i.A. nicht un-hack-bar sind, schützt Dich die Firewall davor, dass jemand überhaupt so weit kommt, dass er die Programme aufzuhacken versuchen kann - denn dafür muss erstmal eine Verbindung zustande kommen.
Und warum sind dann Verbindungen von einem Browser auf Port 443, also HTTPS böse? Wenn alles sicher wäre, bräuchte ich zum Online-Banking keine verschlüsselte Verbindung, oder?
Wenn man (in der Standardinstallation) schon HTTP zulässt, ist es totaler „crap“, das sichere HTTPS nicht zuzulassen.
Viele Grüße,
Robert
Moin!
Genau diese Frage, wen eine Firewall eigentlich schützt und wen sie schützen sollte, stelle ich mir seit einer halben Stunde.
Ein auf der FW installiertes Regelwerk könnte z.B. so aussehen, dass von einem PC aus, der sich im LAN befindet, über TCP oder UDP nach allen anderen IP-Adressen im Internet lediglich die Kommunikation über die Ports 53(DNS), 80(HTTP) und 443(HTTPS) erlaubt sind.
Alle anderen Ports nach draußen sind gesperrt. Beispiel einer Schutzfunktion: auf dem PC versucht ein Schadsoftware, die ganz normal über Port 80 reingekommen ist, ein FTP auf server example.com, Port 59999 um weitere Schadsoftware nachzuladen. Mit o.g. Regelwerk wird das geblockt.
Ein paar Sicherheitsbetrachtungen, allg. verständlich:
http://rolfrost.de/network.html
--roro