[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewall oder gesichertes System

Moin Guido,


> ZA klinkt sich in den IP Stack ein und Du hast den _Nachteil_, dass
> Du damit die Angriffsflaeche _erhoehst_ und nicht _verringerst_.
> Bitte denk darueber mal nach.

Nungut, wir haben hier zwei verschiedene Ansichten:
Du hast die Ansicht (gegen die ich absolut nichts einwenden kann, weil
sie einfach wahr ist), dass ein Rechner ohne Services, die auf's Netz
zugreifen, sicher ist. Einverstanden.

In der Praxis ist es im Augenblick (!) aber so, dass nicht viele
exploits fuer so "exotische" Software wie eine PFW entwickelt bzw.
ausprobiert werden, schliesslich haben die script-kiddies ca. 100
Millionen voellig ungeschuetzte Windows-Rechner, die alle moeglichen
Dienste (womoeglich gar ihre Shares) im Netz anbieten. Und auch ein
Script-Kiddie hat nicht ewig Zeit, sondern will moeglichst schnell
seine IRC-Bots auf die Kisten bringen, die ihm dann DDOS-Angriffe
ermoeglichen.

Damit ist "meine" Sicherheit natuerlich eine truegerische. Aber
solange es noch so unterschiedliche PFWs gibt und diese auf so wenigen
Rechnern laufen, ist meine Sicherheit einfach die, dass sich niemand
die Muehe macht, genau die zu knacken (erstmal muss er Rechner finden,
auf denen sie laufen, dann muss das die richtige Version fuer den
exploit sein etc.), wenn er im gleichen Subnetz 100 Windows-Rechner
ohne Schutz hat. Natuerlich rede ich hier nur von Einwahl-Usern mit
dynamischer IP-Adresse, denn Firmen, die sich mit PFW schuetzen
wollen, sind bescheuert und haben es nicht anders verdient...


> Das bischen an Angriffsmoeglichkeiten, welches solche
> Tools beseitigen wird aber durch die negativen Eingenschaften der
> Software _und_ durch das veraenderte Verhalten des Users leider
> massiv ueberkompensiert. Selbiges gilt fuer Virenscanner.

Nungut, ueber das "bisschen" habe ich oben schon geschrieben (genau
aus diesem bisschen bestehen zur Zeit ueber 90% der Angriffe). Das
geaenderte Verhalten des Users ist natuerlich ein Problem, da gebe ich
Dir recht. Aber auch hier muss ich sagen, dass ich meinem Vater mit
seinem Windows 2000 Rechner lieber eine PFW installiere als garnichts,
denn sein Verhalten wird immer gleich sein (den Anhang von eMails nie
oeffnen, keine dubiose Software runterladen, das war's). Mit der PFW
(von der er nicht weiss, dass sie installiert ist) hat er (im
Augenblick) Schutz vor den meisten Angriffen aus dem Netz, sollte fuer
ZA ein exploit mal groessere Verbreitung finden, muss ich mir was
neues einfallen lassen.

 
> Falsch. Das ist ein suinnloses Wettruesten. Die Scriptkiddies laden
> sich die neuen Tools runter, die dein neues Tool einfach umgehen
> oder gar ausnutzen.

Es gibt inzwischen so viele Script-Kiddies, dass ich es IMHO ziemlich
genau merken werde, wenn sie jetzt eine Moeglichkeit haben, gegen ZA
(oder jede andere PFW) vorzugehen. Es ist nunmal so, dass es insgesamt
vielleicht gerade mal eine Handvoll verschiedener Attacken auf
SOHO-Rechner gibt, diese funktionieren so gut, dass sie jeder
anwendet, schon verbreiten sich im Netz wieder die Schreckensmeldungen
ueber ein neues Loch in dieser und jener Software. Wenn man dann
schnell genug reagiert und auf etwas wechselt, bei dem die
Schwachstellen noch nicht gefunden bzw. so bekannt sind, dann habe ich
wieder Schutz gegen 90% der Angriffe. Soviel zum Wettruesten.


> > haette jeder SOHO-Nutzer diese Sicherheit, wuerde es im Netz um
> > einiges ruhiger ablaufen, CR 1+2, Nimda etc. waeren wirkungslos im
> > Nirvana verschwunden....
> Wenn Du dich mal nicht taeuschst.

OK, so ist das nicht korrekt. Wenn jeder SOHO-Nutzer diese Sicherheit
haette, wuerden sich alle auf die Loecher in den PFWs stuerzen. Ich
verstecke mich ja gerade dahinter, dass nur wenige ueberhaupt die
"Standard-Loecher" in ihren Rechnern schliessen.


-- 
cu Hessi
Reply to: