Der Firewall – Der Spion im Netzwerk

Leser von kowabit.de wissen, dass ich den Einsatz von Hardwarefirewalls empfehle. Auch in Privathaushalten! Auch, wenn sie TEUER sind. Sicherheitssoftware auf dem PC deckt nur einen Teil der Bedrohungen ab. Einerseits nur bereits bekannte Malware, ab und zu mit heuristischer Erkennung gefährliche Dateien, aber bei Scripten und Webtechniken, die Rechner angreifen und infizieren können, da versagen die meisten Programme. Auch Angriffe, die aus dem eigenen Netzwerk kommen, fallen oft nicht auf. Und die Angriffsmöglichkeiten sind vielfältig.

firewall-kowabit

Mein Firewall zuhause hat bspw. in den letzten 24 Stunden mehrere Angriffstechniken entdeckt und protokolliert. Bspw: PHP Function CRLF Injection, IIS-BACKSLASH-EVASION ATTACK, SELF-DIRECTORY-TRAVERSAL ATTAC, NON-RFC-HTTP-DELIMITER ATTACK, UTF-8-ENCODING ATTACK, IIS-UNICODE-CODEPOINT-ENCODING, WEB-PHP PHP function CRLF injection, TCP Port Sweep, ICMP Destination Unreachable Protocol. Zwei Höhepunkte wieder (weil es öfter passiert) ein Angriff über AOL mit 24 infizierten Werbedateien per Javascript und ein offener Angriff (Open Port Attack) über in Facebook geladenen Inhalt (Nicht mein Konto … bin da nicht Mitglied .. Ihr wisst ja, man kann es nicht jedem verbieten … gibt Ärger). Angriffe, die aber auch von meiner Sicherheitssoftware entdeckt wurden und krach gemacht haben. Heute war zuhause wieder was los. Aber, die Einbrecher, Diebe und Kriminellen konnten abgewehrt werden. Auch, weil die Nutzer in meiner Familie sensibilisiert wurden. Bravo!

Das Problem jetzt ist: Es passiert Euch auch. Punkt! Maßgeblich für Privatleute hatte ich mal im Jahr 2014 dazu einen Beitrag verfasst. Es ging hauptsächlich um den Routerzwang der Provider, streifte aber auch das Thema Hardware-Firewall und Sicherheit. Ich halte das immer noch für lesenswert: Klickt hier!

Kommen wir jetzt aber mal zur Unternehmerseite. Da gibt es natürlich eine Menge Hardware, die ziemlich viel Geld kostet. Und diese ganze Geschichte muss dann konfiguriert und entsprechend in die IT-Infrastruktur eingearbeitet werden. Ich werde jetzt mal eine oberflächliche Konfiguration darstellen und Empfehlungen geben, wie man es machen könnte. Und das Wichtigste: Neben Config-Dateien gibt es noch eine Menge anderen Schreibkram und juristische Fallstricke die zu bearbeiten sind. Genau da liegt jetzt auch mein Hauptaugenmerk.

Das hier ist keine Rechtsberatung! Nur eine Empfehlung aus der Praxis heraus! Meine Position zum Thema! ;)

So gut wie jede Hardware-Appliance, die Netzwerke schützen soll, hat bspw. folgende Funktionen:

– SSL-Inspection
– Virenschutz
– Spam-Schutz
– Intrusion-Protection
– SPI/NAT
– Webfilter

Alle diese Funktionen haben Ihre Berechtigung. Aber nicht jeder Baustein ist sinnvoll, nicht jeder Baustein ist notwendig. Und manchmal steht man auch mit einem Bein im Gefängnis, wenn man Bausteine aufgrund von Unwissenheit (aber mit gutem Willen) aktiviert. Beginnen wir die einzelnen Funktionen zu beschreiben, sowie ihre Auswirkungen und die Folgen:

1. SSL-Inspection

SSL-Inspection ist ein ziemlich unterschätztes Werkzeug/System. Der Sinn dahinter lässt sich folgendermaßen erklären:

Wenn ein Nutzer eine SSL-verschlüsselte Webseite aufruft, ist die Kommunikation zwischen Rechner und Webseite verschlüsselt. Macht Sinn! Steht ja da! Das bedeutet aber auch, dass der Inhalt von der IT nicht mitgelesen werden kann und dementsprechend auch nicht auf Malware oder oben genannte Angriffstechniken geprüft werden kann.

ssl-ins-gateway

Ein ITler, der in einer Entscheidungsebene tätig ist wo Sicherheit eine große Rolle spielt, muss jetzt für dieses Problem eine Lösung finden. Es kann dabei nur zwei Möglichkeiten geben.

a) Die Organisation / Firma / Behörde geht das Risiko ein und lässt verschlüsselte Kommunikation zu.

verschluesselung-fuer-alle

b) Die Organisation / Firma / Behörde sieht großes oder hohes Gefährdungspotential und entscheidet sich, die verschlüsselten Verbindungen zu prüfen.

Lösung a) bleibt ohne Folgen. Lösung b) hingegen hat es in sich. Lösung b) ist in der Regel die Entscheidung die gefällt wird. Und ich wage die Behauptung, dass weder der zuständige Admin, noch der für die Entscheidung Verantwortliche weiß was er getan hat. Lösung b) bedeutet immer ein Eingriff in vertrauliche Kommunikation. Ein Eingriff in das Telekommunikationsgeheimnis. Ein tiefer Eingriff in das Leben eines Nutzers.

verschluesselung-fuer-niemand

Eine SSL-Inspection erfolgt durch einen Proxy der als Client arbeitet, wo die Daten entschlüsselt werden und der das SSL-Zertifikat des Zielservers durch ein eigenes Zertifikat ersetzt und damit verschlüsselt an den anfragenden Client weiterreicht. Auf dem Firewall (mit angeschlossenem Syslog-Server) wird also der verschlüsselte Inhalt lesbar gemacht. Wenn Ihr also auf der Arbeit Euer https-geschütztes Webmail-Postfach aufruft, oder Online-Banking macht, oder vertraulich soziale Netzwerkchats nutzt, und das Zertifikat (oben neben https in der Adresszeile prüfbar) nicht das Originalzertifikat auswirft, wisst Ihr, dass da jemand mitlesen kann. Einfach mal mit der Startseite von kowabit.de prüfen. Oben das Zertifikat aufrufen, auch die weitergehenden Infos und vergleichen mit meinen auf der Startseite hinterlegten Infos. Wenn alles in Ordnung ist, dann haben Eure Admins und eure IT-Entscheider weise gehandelt.

ssl-proxy

Wenn Ihr Unstimmigkeiten erkennt, dann solltet Ihr als Betroffene oder, wenn noch eine Lösung zu der Aufgabenstellung gesucht wird, folgende Fragen beantworten:

i) Ist das “private” Surfen am Arbeitsplatz erlaubt?

ii) Haben wir eine Datenschutzvereinbarung, Internetnutzungsvereinbarung und vielleicht IT-Hausordnung, in der darauf hingewiesen wird, oder ich einwillige, oder mir erklärt wird, dass auch der verschlüsselte Web-Inhalt lesbar gemacht wird? Übersetzt: Weiß ich, dass in meine Kommunikation eingegriffen wird?

iii) Haben Personalrat, Datenschutzbeauftragter und oberste Leitungsebene dem zugestimmt?

regeln

Warum ist das wichtig? Nun, wenn der Nutzer nicht weiß, dass seine E-Mails, sein Online-Banking und seine privaten Chats analysiert werden und lesbar gemacht werden, oder mitgeloggt werden, weil irgendwas gefunden wurde, dann haben die Verantwortlichen mindestens in das Telekommunikationsgeheimnis eingegriffen. Wenn die Leitungsebene privates Surfen erlaubt hat, dann muss sich auch den Umgang mit den privaten Inhalten regeln. Aber selbst, wenn sie es verbietet, ist es rechtlich interessant, ob sie dennoch in derart gesicherte Kommunikation eingreifen dürften. Es gibt zwar einige Urteile im Bereich privater Internetnutzung während der Arbeit, aber auch hier wurden oft nur die bestehenden Regeln bewertet, aber nicht der wirkliche technische Vorgang.

Wenn ich einen Brief zur Post gebe und ein Roboter statt Mensch macht ihn auf, um den Inhalt zu prüfen, dann verstößt die Post ja trotzdem gegen das Postgeheimnis. Wenn Ich Euch verbiete meinen Garten zu betreten, Ihr es dennoch macht, dann habe ich trotzdem nicht das Recht in eure Brieftasche zu gucken (Bsp.: Onlinebanking bei der Arbeit ohne erlaubtes Surfen). SSL-Inspection ist ein heikles Thema. Ich denke, dass zehn Juristen nicht ausreichen, um dieses Thema abschließend zu würdigen. Auch heute noch nicht!

Vielleicht interessiert Dich noch:   Das Scheitern

private-daten

Ich wäre vorsichtig bei der Umsetzung, wenn Ihr vor dieser Aufgabe steht. Im besten Fall sollte das Risiko eingegangen werden darauf zu verzichten und mehr in die Sensibilisierung der Mitarbeiter gesteckt werden. Firewall-Regeln zu überwachen und zu pflegen, die bestimmte Seiten von der SSL-Inspection ausnehmen, halte ich für schlicht zu aufwendig. Wenn man es hart mag, wäre eine Whitelist-Strategie leichter zu verfolgen.

Eine SSL-Inspection ist am Ende auch nichts anderes als ein Men-in-the-middle-Angriff. Ein Angriff auf die vertrauliche Kommunikation der Mitarbeiter. Und in den seltensten Fällen sind sich alle Beteiligten darüber im Klaren was eigentlich wirklich technisch vor sich geht.

Wenn Ihr geregelt habt, dass privates Surfen nicht erlaubt ist, Ihr dennoch SSL-verschlüsseltes Webmail der Mitarbeiter entschlüsselt und analysiert, kann das problematisch sein. Ich sehe in diesem Punkt getroffene Vereinbarungen oder Regeln für fehlerhaft an, wenn man den technischen Vorgang nicht betrachtet hat. Und in Bezug auf die anderen Funktionen eines Firewalls, werden wir sehen, dass gerade die Entschlüsselung des Datenverkehrs kritisch zu bewerten ist.

2. Virenschutz

Der Virenschutz in einem Hardwarefirewall ist nichts anderes als das, was Ihr (hoffentlich) auf Eurem PC installiert habt. Der einzige Unterschied ist, dass der Firewall die Dateien scannt und sie dann an Euch weiterreicht. Falls er was findet, killt er die Datei oder die Malware. Auch hier spielt SSL eine wichtige Rolle. Ebenso inhaltlich verschlüsselte E-Mails. Da ist ohne Entschlüsselung auf dem Hardwarefirewall kein Scan möglich. Hier muss dann das auf dem ClientPC installierte Antivirenprogramm tätig werden. Oder Ihr lasst die Entschlüsselung, wie oben beschrieben, zu. Entschlüsselt Ihr jedoch den gesicherten Traffic scannt Ihr möglicherweise vertrauliche und geschützte Daten. Ob korrekte oder fehlerhafte Meldungen und Warnungen durch den Firewall ausgeworfen werden, ist dann erstmal egal. Aus rein technischer Sicht greift der Antivirenscan bei unverschlüsseltem/entschlüsseltem Traffic in die Kommunikation ein. Auch das sollte Nutzern bekannt gemacht werden! Es geht nicht nur um Virenscans, sondern um die Analyse des Internetverkehrs.
In der Regel kann man auf Hardwareappliances zusätzlich den Virenschutz für nur bestimmte Protokolle und Ports aktivieren. Das ist dann Eure Konfigurationsentscheidung.

virencheck

3. Spam-Schutz

Der SPAM-Schutz ist wieder eine der heiklen Sachen. Grundsätzlich kann der SPAM-Schutz Absender-IP-Adressen, oder Absenderadressen mit SPAM-Verzeichnissen vergleichen. Diese Form ist dahingehend gut, dass auch inhaltlich verschlüsselte E-Mails eingestuft werden könnten und keine inhaltliche Prüfung stattfindet. Wobei es wohl eher unwahrscheinlich ist, dass Ihr verschlüsselten SPAM erhaltet. Ist mir noch nie passiert. Die weitere Möglichkeit ist die SPAM-Analyse des Inhaltes. Hier stehen wir aber wieder vor dem gleichen Problem wie mit der SSL-Inspection. Eine SPAM-Analyse ist ein Eingriff in das Postgeheimnis, denn der Inhalt wird auf bestimmte als SPAM bekannte Worte, Sätze oder Links geprüft. Nicht umsonst, muss man bei Webhostern oder E-Mail-Anbietern die SPAM-Bekämpfung in der Regel manuell aktivieren. Hier wird im Grunde das gleiche Prinzip genutzt, wie es bspw. Webmailanbieter anwenden, die den Inhalt scannen, um gezielt Werbung dazu anbieten zu können. Der eine Mechanismus bekämpft Spam. Der andere Mechanismus bietet uns inhaltlich passenden SPAM. Beides greift jedoch in das Postgeheimnis ein. Ihr müsst also eine Regelung finden! Wenn die E-Mails per SSL/TLS vom Mailserver abgeholt werden, kann der Hardware-Firewall aber auch nichts machen. Hier ist dann eine lokale Sicherheitslösung gefragt.

Interessant ist die Funktionsweise eines SPAM-Filters auch aus reinem Sicherheitsinteresse. Stellt Euch mal das Szenario vor, dass jemand Eure SPAM-Filter manipuliert, um alle E-Mails auszuleiten, die bspw. an bestimmte Personen gehen sollen, oder bestimmte Inhalte transportieren. Ein SPAM-Filter kann als Angriffsinstrument genutzt werden. Ein bisher eher selten diskutiertes Werkzeug. Seit mal ehrlich: Macht Ihr es so wie ich und prüft die Einstellungen der SPAM-Filter regelmäßig?

spamcheck

4. Intrusion-Protection

Zur Intrusion-Protection gehören Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS). Diese Mechanismen analysieren den Netzwerkverkehr auf Einbruchsversuche, Scans, Inhalte und unnormales Verhalten.

Hier gibt es verschiedene Arten. Wenn Ihr eine vollumfängliche Sicherheitssuite auf den ClientPCs installiert habt, besitzt Ihr in der Regel ein HIPS. Das ist ein Host-based IPS. Der Computer verteidigt sich hier erstmal selbst. Mit einer Hardware-Appliance habt Ihr in der Regel ein NIPS. Network-based IPS. Die Appliance übernimmt hier die Analyse und Verteidigung. Die Verteidigung sieht dann so aus, dass gefährliche Datenströme zu Eurem PC unterbrochen und weitere Anfragen etc. abgelehnt werden.

Als unkritisch sehe ich RBIPS (Rate-based IPS). Das ist eine einfache Art der Analyse. Wenn bspw. zu viele Anfragen gestellt werden, oder zu viele Datenpakete eingehen, die nicht benötigt werden, blockt das System ab. Das System lernt und erkennt unnatürliche Geschichten.

Tiefgreifender arbeiten PAIPS (Protocol Analysis IPS). Hier werden Netzwerkprotokolle geprüft. Wenn bspw. ein interner Mitarbeiter einen eigenen Webserver betreut und über ein zweckentfremdetes Protokoll Daten entwendet, könnte das auffallen. Bspw. http-Traffic über einen SMTP-Port laufen lassen. Andersrum natürlich auch, wenn die eigene Firma bereits gehackt wurde. Hier könnten Daten zur Prüfung abgefangen werden, wenn bspw. eine zu große Datei Aufmerksamkeit erregt.

Ähnlich arbeiten CBIPS (Content-based IPS). Hier wird auch mehr der Inhalt von Paketen geprüft. Es erfolgt eine Analyse des Kommunikationsinhaltes auf gefährliche oder kritische Bestandteile. Selbes Problem wie bei SPAM, Antivirus und SSL-Inspection. Ein Mitlesen der Inhalte findet irgendwie statt! Es können Fehlalarme ausgelöst werden, die Dateien in Quarantäne schicken. Dann hat ein Admin unter Umständen Zugriff drauf. Maßgeblich geht es aber um Signaturen und Datenströme, die bereits als Malware bekannt sind.

Vielleicht interessiert Dich noch:   Das #Darknet ist kein #Darkroom ...

Bei Intrusion-Protection kommt als weiteres Problem hinzu, dass diese Systeme manipulierenden Charakter haben. Wenn Irgendwas festgestellt wird, wird mit dem Datenstrom Irgendwas gemacht. Er wird verändert! Er wird manipuliert! Auch hier gilt deshalb, dass Ihr das intern juristisch prüfen und bewerten lassen müsst. Gerade für Admins ist das wichtig! Admins sehen das, was andere gerne sehen wollen! Admins wollen aber oft gar nicht all das sehen, was sie sehen müssen!

intrusion-protection

5. SPI / NAT

NAT (Network Address Translation) kann man als eine Bündelungsfunktion beschreiben. Ihr habt 10 Rechner im Netzwerk. Der Netzwerkausgang ist Euer Router. Der Router nutzt NAT und geht mit nur einer IP-Adresse ins Internet. Alle 10 Rechner gehen also mit dieser IP ins Internet. Das ist NAT. Bei IPv6 wird sich einiges dahingehend ändern. Bei IPv4 ist NAT aber notwendig. Stellenweise findet man NAT immernoch als Funktionsumfang bei einigen Routern in der Beschreibung. Ich halte es für Käse NAT noch irgendwie erwähnen zu müssen. Zumal auch keine Schutzfunktion dahinter steht. Das Verschleiern von IP-Adressen ist damit nicht wirklich machbar. WebRTC macht IP-Adressen aus internen Netzen auch sichtbar. NAT sei nur mal so erwähnt, weil alle Hersteller es erwähnen. :)

NAT

Wichtiger ist SPI. SPI steht für Stateful Packet Inspection. SPI hat die Funktion Datenpakete einer bestehenden Kommunikationssitzung zuzuordnen. Wenn Rechner 1 Paket 1 anfordert, dann lässt SPI das durch. Kommt aber Paket 5 für Rechenr 1 an, verwirft SPI das Paket. SPI ist eigentlich normaler Bestandteil eines auch älteren Routers. SPI ist im Einsatz unbedenklich und sinnvoll. Unerwünschte Angriffe wie DoS-Attacken (kleinere jedenfalls) können damit abgewehrt werden.

SPI

6. Webfilter

Webfilter sind in der Regel Mehrwertdienste bei Appliance-Anbietern. Ihr bezahlt dafür, dass der Anbieter eine riesige Linksammlung verwaltet und die aufgenommenen Webseiten in eine Kategorie schiebt. Am Hardware-Firewall könnt Ihr dann Kategorien wie Pornografie, Hacking, News oder Werbung freigeben, überwachen, blockieren und/oder mitloggen. Grundsätzlich kann man aber an so gut wie jedem Gerät eigene Filterlisten führen. Ihr könnt bspw. die Blockliste von kowabit übernehmen. Diese Liste ist dann zwar kostenlos, aber die Aktualisierung geht auf Euer Arbeitspensum.

Wenn Ihr also bspw. die Webseite facebook.com blockiert, dann kann niemand in Eurer Firma darauf zugreifen. Eine Sperrung von Webseiten wird in der Regel immer auf Grundlage einer Arbeits- und/oder Sicherheitsrichtlinie erfolgen. Mindestens, wenn über eine Seite ein Angriff stattfindet, werdet Ihr diese Dreckschleuder dichtmachen. Aber auch hier ist es wichtig zu prüfen in wie weit Ihr bspw. Zugriffsversuche mitloggen wollt. Wenn Ihr facebook gesperrt habt, ist es eigentlich nicht sinnvoll Zugriffsversuche von Mitarbeitern mitzuloggen. Die einzige Information die Ihr feststellt, ist der Versuch. Da steht jetzt so kein Mehrwert hinter. Und jeder Datensatz zuviel ist ein Baustein zu mehr Informationen über Eure Nutzer. Informationen, die Ihr vielleicht nicht erheben dürft. Interessant ist nur, wenn ein Zugriff auf eine ähnliche Webseite erfolgt , die nicht geblockt wurde. Aber auch erst dann, wenn bspw. Schadcode darüber geladen wurde. Vorher sollte eine Auswertung vermieden werden. Ein kleines Risiko gehört zum Geschäft.

Zum Bereich Webfilter kann man auch noch die Application Control zählen. Also die Erkennung eingesetzter und aktiver Software auf den ClientPCs durch die Hardware-Appliance. Wenn Ihr also die Anwendung XYC-Videotelefonie sperrt, dann verhindert der Firewall die Kommunikation dieser Software mit dem Internet. Auch das ist ein Filtermechanismus. Er könnte auch als Extra-Punkt aufgezählt werden.

webfilter

Alle diese Funktionen kann man auch unter dem bekannten DPI zusammenfassen: Deep Packet Inspection. Bekannt aus Funk und Fernsehen, wenn Bürgerrechtler kritisieren, dass Staaten mit dieser Technik Zensur im Internet durchführen, Vorratsdatenspeicherung vornehmen, Kommunikation abhören und die Netzneutralität durch bspw. Provider beschnitten wird. Es ist hilfreich, um Systeme abzusichern. Es ist gefährlich, wenn man es mit böser Absicht einsetzt. Es ist nicht weniger gefährlich, wenn man es mit guter Absicht einsetzt.

DPI

Wenn wir DPI jetzt in Firmennetzwerken zum Einsatz bringen, müssen wir rückblickend auf folgende Dinge achten:

1.) NAT/SPI sind in Ordnung
2.) Bei aktiven Webfiltern sollte auf Logging verzichtet werden. Wir beschränken uns auf Kategorien wie Werbung, SPAM, Malware, gehackte Seiten, politisch radikale Seiten und Pornographie.  Empfehlenswert noch Proxies, um kundige Mitarbeiter etwas auszubremsen. Das Sammeln von versuchten Zugriffen auf gesperrte Inhalte durch Nutzer sind schlicht nur zusätzliche Daten, die Rückschlüsse auf das Verhalten ermöglichen. Bei funktionierendem System gehen wir davon aus, dass, sollte Kommunikation trotz Webfilter möglich gewesen sein, andere Sicherheitsmaßnahmen oder Loggings erstellt wurden (siehe IPS).
3.) Bei Intrusion-Protection gehen wir vorsichtig mit Fehlermeldungen um. Keine dauerhafte Speicherung von Fehlalarmen!
4.) Beim SPAM-Schutz nutzen wir nur IP-basierte und Domain-Analysen, um den Inhalt nicht aufzubrechen.
5.) Beim Antivirenschutz scannen wir alle Ports und Protokolle. Wir verzichten auf den Scan verschlüsselter Kommunikation (https, ftps, verschl. E-Mails).
6.) Auf SSL-Inspection sollte verzichtet werden.

Wenn wir nicht auf den Scan verschlüsselter Kommunikation verzichten wollen (Punkt 6 und 5), müssen wir mehrere Instanzen beteiligen und Regelungen festlegen (Datenschutz, Personalrat, Juristen, Nutzerregeln, IT-Hausordnung), die vor Gericht standhalten können. (Viel Glück!) Hier ist Aufklärung der Nutzer und die Beteiligung mehrerer Instanzen in der Firma (Datenschutz, Personalrat, Juristen), da Post- und Kommunikationsgeheimnis betroffen sind, notwendig.

 

Die Grafiken wurden mit bestem Wissen und Gewissen erstellt, um eine leicht verständliche Darstellung zu ermöglichen. Fehler durch fehlende Details oder durch die oberflächliche Darstellung etc. sind möglich. Tipps, Hinweise, Fehler und Kritik wie immer gerne zu mir!

 

Für weitergehende Informationen habe ich im Mai ein Interview mit dem Geschäftsführer vom Comidio geführt. Die Firma beginnt mit dem Vertrieb von Firewalls für Privathaushalte und SOHOs. Vielleicht ist es von Interesse!

6 Kommentare Der Firewall – Der Spion im Netzwerk

  1. Habi

    Ein paar konkrete Produktbeispiele wären nett. Der Hardware-Firewall Markt ist recht undurchsichtig…

    1. Klemens Kowalski

      Wenn man global guckt, ist es sicher so.

      Erstmal würde ich den “Made in Germany”-Markt anschauen. Schlicht auch wegen Support.

      Bspw.: http://www.securepoint.de oder http://www.gateprotect.de

      Andere Anbieter: http://www.zyxel.com/de/de/homepage.shtml oder https://www.paloaltonetworks.com/ oder https://www.barracuda.com/ oder http://www.cyberoam.com/ngfw.html oder http://www.juniper.net/de/de/ oder http://www.sonicwall.com/de/de/ oder https://www.watchguard.com/ oder http://www.fortinet.com/

      Was nun besser oder schlechter ist, ist am Ende auch nur eine Glaubensfrage. Die Erfahrung macht’s.

  2. Kenny

    Die Aussage bzgl. Firewalls bei Privatnutzern verstehe ich nicht wirklich. Jeder Privatnutzer hat in der Regel heutzutage eine Hardwarefirewall bei sich stehen (mit Ausnahme derjenigen, die sich direkt am Rechner per Mobilfunknetz einwählen und den Leuten, die sich per Modem einwählen). Jeder Router hat heutzutage grundlegende Firewall-Funktionen. Mehr bekommt man für kleines Geld auch bei separaten Firewalls kaum geboten.

    Die Angriffe, die du beispielsweise nennst, sind alles Content-basierte Angriffe, die normale, hardwarebasierte Firewalls in den seltensten Fällen sehen, da diese maximal bis auf Layer 4 sinnvoll arbeiten. Das ganze Content-basierte Zeug ist so schwammig und schnelllebig, dass eine Install-once-Run-forever-Lösung überhaupt keinen Sinn ergibt.

    Genau aus dem Grund hat man das in Unternehmensnetzen ja in IDS/IPS-Systeme ausgelagert, die separat gehegt und gepflegt werden müssen.

    1. Klemens Kowalski

      Es geht ja um die grundlegenden Firewallfunktionen. Die sind schlicht nicht ausreichend. Die genannten Angriffe werden durch die nicht aufgehalten. Und aus diesem Grund sollten Privathaushalte Unternehmenslösungen umsetzen.

  3. Linuxuser

    Klasse,

    aber wie bringt man es dem normalen Endanwender bei?
    Solltest diesen Beitrag mal dem Heise-Verlag anbieten zur Veröffentlichung.

    Gruß und weiter so!!!

Kommentare sind geschlossen.