Die Fehler in de.comp.security.firewall FAQ

Der de.comp.security.firewall FAQ steht seit Jahren relativ unverändert im Web obwohl einige Aussagen darin schon immer falsch waren und vieles andere mittlerweile total überholt ist. Dies ist eine Liste der Fehler (Stand Februar 2007), als Anregung den FAQ mal anzupassen oder vom Netz zu nehmen.

NumFAQDiese Antwort ...... ist falsch weil
1Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher? Nein. Ohne ein Konzept, was vor wem geschützt werden soll, ist ein Firewall-System für den Betreiber gefährlich. Ohne tiefgreifendes Verständnis zur Ausarbeitung eines solchen Konzeptes darf kein solches System entworfen und aufgebaut werden. Die starken Sprüche sind ja nicht begründet, aber wenn sie stimmen würden, wäre Windows XP durch die Einführung der Personal Firewall mit Service Pack 2 unsicherer geworden, aber die Theorie hab ich noch nirgendwo gehört.

Manche Leute definieren die Windows Firewall als "Host basierten Paketfilter" und nicht als "Personal Firewall" und sehen sie wegen des kleineren Codes als weniger anfällig an. Der FAQ kennt diese Unterscheidung nicht.

2Wieso kann eine Sicherheitslösung per se gefährlich sein? Risikokompensation: Wer glaubt, die unverstandene Sicherheitslösung hätte irgendeinen Effekt, wird unbewußt diesen mit einer gewissen Laxheit kompensieren, weil ihn das System ja schützt. Für die berühmte Personal-Firewall-Risikokompensations-Theorie kenne ich keine Belege. Wenn man ähnliche Studien über Autofahrer heranzieht: Ja, die Leute fahren schneller wenn sie einen Airbag und ABS haben, trotzdem retten diese beiden Systeme jedes Jahr viele Menschenleben obwohl kaum einer versteht, wie sie wirklich funktionieren. Man muss eine Personal Firewall nicht verstehen, wenn sie alle Pakete an die Ports 135 und 445 blockiert ist das einfach sicherer.
3Ich bekomme aber Pakete an Trojanerports! Wenn Du einen Trojaner installiert hast, so hast Du das absichtlich getan. Hier zeigt sich gut, wie veraltet die FAQ ist. Die Zeiten, in denen man sich Trojaner nur durch unbeabsichtigtes Öffnen von Email-Anhängen eingefangen hat, sind lange vorbei. Siehe: [1] [2] [3] [4]
Und da man sich bei allen Sicherheitsvorkehrungen trotzdem einen Trojaner einfangen kann, ist es eine gute Sache, wenn die Personal Firewall die Verbindungsversuche zu den Trojaner-Ports blockiert.
4Die Firewall schützt mich aber vor Zugriffen auf meine Windowsfreigaben! Warum hast Du Deine Festplatte und Deinen Drucker denn an jeden im Internet freigegeben? Warum stellst Du es nicht einfach ab? Der FAQ ist offensichtlich aus der Zeit, wo es wenige Laptops und DSL-Router gab. Die Methode "Keine Windows-Freigaben am Dial-UP-Interface" hilft dabei nicht mehr viel. Vieleicht bin ich mit meinem Laptop mal in einem unsicheren Kunden-Netz, oder der Nachbar kommt mit seinem verseuchten Laptop rüber in mein Netz. Viel Spass beim Neusinstallieren an alle Personal-Firewall-Verweigerer ;)
5Wie kann ich mich unsichtbar machen? Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Die wenigsten Provider schicken noch ICMP-Unreachable bei unbelegten IPs. Der einzige mir bekannte Provider, der es macht ist mediaways.net. Kein Unreach kommt von T-Online, Arcor, AOL, Kabel-BW, ISH und Tiscali. Und ohne Unrech kann man nicht erkennen, ob eine IP aktiv ist oder nicht.
6Der Hersteller meiner Software bietet aber keine Patches zur Fehlerbehebung an. Also brauche ich eine Firewall! Du hast Regressansprüche gegen den Hersteller, da sein Produkt fehlerhaft ist. Nur, indem auch Du diese Ansprüche geltend machst, wird der Hersteller lernen, für Geld auch Leistung zu liefern. Vollkommener Quatsch, sonst hätten sich schon Herrscharen von Anwälten aufgemacht um Milliarden aus Microsoft herrauszuklagen. Insbesondere Privatleute würden da nicht sehr weit kommen.

Es gibt auch noch einen anderen Grund einen Rechner nicht sofort zu patchen: Es ist ein Server in einer Firma und man muss den Patch erst testen bevor einem alles um die Ohren fliegt. Beispiele von Patchen mit Nebenwirkungen gibt es zur genüge. Wenn solange eine Software-Firewall auf dem Server das System sicherer macht ist das eine gute Sache.

7Ich mußte alles zulassen, sonst geht Napster nicht mehr! Deinstalliere die Firewall. Du brauchst das nicht. Was war denn nochmal Napster? :) Nunja, auch über diesen Rat freuen sich Spammer und Script-Kiddies weil sie leichteres Spiel haben. Andere Leute empfehlen Personal Firewall, z.B. Bruce Schneier.

Wie man aktuelle Peer-to-Peer-Software mit Personal Firewalls und DSL-Routern zusammen benutzt finden sich genug Beschreibungen per Google, deinstallieren ist nicht nötig.

8Ist REJECT oder DENY sinnvoller? Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen. ... Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY. Ident in Zusammenhang mit SMTP ist tot, die Server die es benutzen sind allenfalls im Promille-Bereich. Was dagegen lebt sind Denial of Service Attacken und da freut sich der Angreifer wenn der Empfänger zu jedem Angriffs-Packet seine eigene Leitung zusätzlich noch mit REJECT-Paketen auslastet. Der Vergleich aus dem FAQ lässt sich auch ganz gut anpassen: Wenn 10.000 Leute innerhalb von einer Stunde mit Dir über etwas sprechen wollen, sagst Du dann jedem einzeln "Nein"?

Im Jahr 2007 gilt also: Wenn Du als Schutzpatron für Script-Kiddies auftreten willst, nimm REJECT.

9Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen! Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?" Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm." Diese FAQ soll dazu beitragen, dass derartige offenkundig unerfüllbare Wünsche seltener oder am besten gar nicht an die Gruppe herangetragen werden. Sie soll zum Nachdenken anregen. Der Vergleich ist total falsch (eher jemand der in einen Raum reinruft ob jemand da ist ... ) und wie oben bereits klargestellt wurde ist der Wunsch bei den meisten Providern erfüllbar (Wenn eine Firewall alle Pakete verwirft und kein Port offen ist). Wer jemanden wegen dieser Frage also verarscht hat keine Ahnung und sollte besser Dieter Nuhrs Rat in diesem Zusammenhang befolgen ;)
10Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls" trotzdem so gelobt? Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum Abdruck von Werbetexten als redaktionelle Artikel. Netter Erklärungsversuch warum alle Welt eine andere Meinung hat als die FAQ-Autoren, es könnte aber auch ein kleines bischen daran liegen, das Personal Firewalls sinnvoll sind. Für Laptops und innerhalb von grossen Firmen-Netzen bezweifelt das niemand mehr. Beim Heimanwender ist es nur noch die Frage ob DSL-Router oder Personal Firewall.
11Was ist eigentlich sicher? Der Begriff Sicherheit bezieht sich auf ein bestimmtes Szenario und ist dort binär: Entweder ein System ist gegenüber genau diesem Szenario sicher oder eben nicht. Dies ist absoluter Quatsch, es gibt keine binäre Sicherheit. Ausser man definiert in diesem Satz "Szenario" so schmal, dass es das es sich wirklich nur um einen einzigen möglichen Angriff handelt, z.B. Angriff auf mod_ssl 2.8.14 in Apache 2.0.53 auf Routine ... unter Linux 2.6.20 auf x64. Dafür könnte man vieleicht eine binäre Aussage treffen, aber in diesem Detail-Grad kann man niemals eine auch nur annähernde Szenarien-Liste erstellen.

Im weiteren Verlauf widerspricht sich der FAQ dann noch selbst. Erst wird der Begriff "sicherer" als gefährlich dargestellt und später die Versicherungsbranche mit ihren Risiko-Wahrscheinlichkeiten gelobt. Das ist doch nichts anderes.

12Ist NAT ein ausreichender Schutz für Surfer? Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse, so wird er versuchen, irgendwie den eigentlichen Empfänger zu erraten und das Paket zuzustellen. Das gilt insbesondere dann, wenn der NAT-Router keine intime Protokollkenntnis der Anwendung hat. Oft besteht keine Chance für den NAT-Router, selbst bei Kenntnis des Protokolls, den Empfänger sicher zu ermitteln. Dann wird mittels einer Heuristik der Empfänger erraten. Dies gilt insbesondere bei verschlüsselten Verbindungen und verbindungslosen Protokollen.
Ein NAT-Router ist deswegen keine Sicherheitskomponente.
Dies trifft nur für wenige Protkolle zu (z.B. IPsec, FTP) und ist in der Regel an die Ziel-IP gebunden. Die Sicherheitsimplikationen davon sind also gering. Zusätzlich haben die meisten aktuellen NAT-Router noch einen rudimentären Paketfilter eingebaut, mit dem man gefährliche Ports (z.B. 135-139, 445 UDP & TCP) sperren kann.
13Was ist eine Firewall? Als Firewall bezeichnet man ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen,... ... niemand ausserhalb der de.comp.security.firewall FAQ mit "Firewall" ein Firewall-Konzept meint sondern immer das Firewall-Gerät. Aber man kann ja gerne alle Dinge als Konzept für ihren Nutzen bezeichen, z.B.:

Als Router bezeichnet man ein organisatorisches und technisches Konzept zur Verbindung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. Ein oft benutztes Instrument der Umsetzung ist ein Stück Hardware, das zwei oder mehr physisch getrennte Netzbereiche verbindet und dabei auf Layer 3 Pakete weiterleitet. Dieses Stück Hardware bezeichnet man als Router-System oder verkürzt als Router.

Kommentare bitte an fw [at] rupp.de