Was nützt die Firewall

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Hallo Leute,
Irgendwie ist mir der Sinn einer Firewall nicht ganz klar. z.B:
Port 80, 443, 21, sind offen für Surfen und ftp runterladen. An den anderen Ports ist kein Service aktiv. Weshalb ist dann eine Firewall notwendig? Nützt ja gar nix. Oder Port 110, 25 sind offen um Mail zu empfangen und senden. Aber sonst sind keine Dienste aktiv auf dem Computer. Dann könnte man die Firewall ja auch ausschalten, oder seh ich da was falsch?
 

macchrissli

Celler Dickstiel
Registriert
21.05.05
Beiträge
803
die firewall sorgt eben dafür das über die ports die du nicht nutzt nicht jemand einfach auf deinen rechner kommt sonder diese ports dicht macht.
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Wenn hinter den offenen Ports kein Service aktiv ist, kann der Port lange offen stehen, ein Eindringen ist trotzdem nicht möglich.
 

zeno

Lane's Prinz Albert
Registriert
05.11.05
Beiträge
4.894
Wenn hinter dem Port kein Service hängt is er ja nichtmal offen, nur nicht geblockt.
 

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
Wenn hinter den offenen Ports kein Service aktiv ist, kann der Port lange offen stehen, ein Eindringen ist trotzdem nicht möglich.

Ich spinn mal ein hypothetisches Szenario:

Könnte nicht ein potentielles (und im Moment vermutlich noch nicht existentes) Schadprogramm rein theoretisch einen eigenen Service starten, der den entsprechenden Port nutzt? Dann verhindert nur noch die Firewall, dass dieser Service durch Eindringlinge von außen benutzt werden kann.

-Stefan
 

debunix

Prinzenapfel
Registriert
13.01.05
Beiträge
548
Hallo Leute,
Irgendwie ist mir der Sinn einer Firewall nicht ganz klar. z.B:
Port 80, 443, 21, sind offen für Surfen und ftp runterladen. An den anderen Ports ist kein Service aktiv. Weshalb ist dann eine Firewall notwendig? Nützt ja gar nix. Oder Port 110, 25 sind offen um Mail zu empfangen und senden. Aber sonst sind keine Dienste aktiv auf dem Computer. Dann könnte man die Firewall ja auch ausschalten, oder seh ich da was falsch?

Keine offenen Ports = keine Angriffsfläche!
Keine angebotenen Dienste = keine Angriffsfläche!
-> Firewall nicht notwendig!!!
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Kernelpanik, hier liegt eine Richtungsverwechslung vor.

Wenn Du Deine Mails abrufst, dann ist am Mailserver der Port 110 (POP3 als Beispiel) offen, nicht bei Dir am Computer. Bei Dir ist das ein (quasi) beliebiger Port der für die ausgehende Verbindung verwendet wird und der lauscht nur auf Antworten auf die Anfrage die er gerade gestellt hat.

Der Firewall (im herkömmlichen Sinne, und wie er bei Tiger momentan eingesetzt wird) verhindert, daß Anfragen von draussen an einen geöffneten Port gelangen. Dies ist beispielsweise dann sinnvoll wenn Du Irgendein Programm verwendest welches lokal einen Port öffnet. Beispielsweise öffnet mySQL den Port 3306/tcp um auf Netzwerkzugriffe zu hören. Bei Leuten die Webentwicklung machen ist das ein sehr häufiges Szenario. Da dies aber üblicherweise nicht wollen, daß dort jemand von draussen auch auf die Datenbanken zugreifen kann wird der Port vom Firewall für eingehende Verbindungen von außen geblockt. Lokale Verbindungen sind jedoch möglich.

debunix,
das ist leider ein Trugschluß. Das Problem ist, daß Du nicht immer weist oder beeinflussen kannst ob und wann ein Programm einen Port öffnet. Grundsätzlich ist es korrekt, daß ein Dienst der nicht läuft weniger Sicherheitslücken verursachen kann. Aber daraus zu schließen, daß ein Firewall nicht notwendig oder sinnvoll ist, ist nicht korrekt.
Gruß Pepi
 
Zuletzt bearbeitet:

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Ich spinn mal ein hypothetisches Szenario:

Könnte nicht ein potentielles (und im Moment vermutlich noch nicht existentes) Schadprogramm rein theoretisch einen eigenen Service starten, der den entsprechenden Port nutzt? Dann verhindert nur noch die Firewall, dass dieser Service durch Eindringlinge von außen benutzt werden kann.

-Stefan

Nein. Wenn Du einen Trojaner auf der Platte hast wird der sicher nicht über eine Internetverbindung getriggert, sondern sendet von sich aus Daten ab. Da nützt die herkömmliche Firewall nichts. Das kann man nur mit LittleSnitch oder GlowWorm verhindern.
...Der Firewall (im herkömmlichen Sinne, und wie er bei Tiger momentan eingesetzt wird) verhindert, daß Anfragen von draussen an einen geöffneten Port gelangen. Dies ist beispielsweise dann sinnvoll wenn Du Irgendein Programm verwendest welches lokal einen Port öffnet. Beispielsweise öffnet mySQL den Port 3306/tcp um auf Netzwerkzugriffe zu hören. Bei Leuten die Webentwicklung machen ist das ein sehr häufiges Szenario. Da dies aber üblicherweise nicht wollen, daß dort jemand von draussen auch auf die Datenbanken zugreifen kann wird der Port vom Firewall für eingehende Verbindungen von außen geblockt. Lokale Verbindungen sind jedoch möglich...

Wenn also ein Service im LAN benutzt wird, vom WAN her aber nicht benutzt werden darf, ist eine Firewall sinnvoll. Aber nochmal die Frage: Wenn hinter einem Port kein Service aktiv ist, ist der Port auch nicht anfällig auf Angriffe. Oder seh ich das falsch?
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Wenn hinter einem Port kein Service aktiv ist, ist der Port auch nicht anfällig auf Angriffe.
Ja ist so. Es besteht dann nur die Gefahr, daß der IP-Stack selbst einen Bug hat und man den Rechner hacken kann, aber das ginge in diesem Szenario auch mit aktiver FireWall.
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Könnte nicht ein potentielles (und im Moment vermutlich noch nicht existentes) Schadprogramm rein theoretisch einen eigenen Service starten, der den entsprechenden Port nutzt?
Ports kleiner als 1024 sind auf einem UNIX schon immer priviligiert und können nur von einem entsprechend priviligiertem Prozesß benutzt werden. root Prozesse oder solche die speziell via root account gestartet wurden.
 

QuickMik

deaktivierter Benutzer
Registriert
30.12.05
Beiträge
5.193
Wenn also ein Service im LAN benutzt wird, vom WAN her aber nicht benutzt werden darf, ist eine Firewall sinnvoll. Aber nochmal die Frage: Wenn hinter einem Port kein Service aktiv ist, ist der Port auch nicht anfällig auf Angriffe. Oder seh ich das falsch?

ganz bin ich noch nicht draufgekommen, worauf du hinaus willst.....
aber egal.

wenn du z.b. filesharing im LAN laufen läßt (port 548) und du aber nicht willst, das vom WAN jemand zugreift, hat das eigentlich nichts mehr mit deiner kiste, sondern mehr mit der firewall (router) zu tun, der für die verbindung ins internet zuständig ist.

ob deine FW aktiv ist oder nicht.
und wie pepi schon richtig schreibt. ich denke auch das du die richtung verwechselst.

du kannst deine FW einschalten und alle ports die dort angegeben sind schließen...
so wirst du trotzdem mailen surfen uw. können.
die FW blockt den verkehr von aussen nach innen.

war das verständlich?
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
...du kannst deine FW einschalten und alle ports die dort angegeben sind schließen...
so wirst du trotzdem mailen surfen uw. können.
die FW blockt den verkehr von aussen nach innen.

war das verständlich?

??? Wenn Port 110 und 995 geschlossen sind kann ich keine Mails empfangen.
 

FireballBK

Boskoop
Registriert
14.10.06
Beiträge
40
Wenn der ausgehende Traffic zum Mailserver hin auf den von dir benannten Port blockiert ist, dann kannst du keine Mail empfangen.
 

QuickMik

deaktivierter Benutzer
Registriert
30.12.05
Beiträge
5.193

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
tjp,
deswegen verwendet Schadsoftware nur selten Ports südlich von 1024. Mal abgesehen davon, daß auch PortScanner sich üblicherweise auf die Regionen unter 10.000 konzentrieren und daher solche offenen Ports nur dann finden wenn sie dezidiert dazu aufgefordert werden.

Es gibt auch Schadsoftware die mucksmäuschenstill einfach nur lauscht ob und wer da kommt. Das würde man mit LittleSnitch nicht bemerken, jedoch durch einen eingehenden Firewall (wie den normalen) Mac OS X Firewall unterbinden können.

Wie ich schon sagte ist das Problem, daß ein Schad-"Dienst" sich den Port aussuchen kann und man es üblicherweise nicht weis, daß ein solcher läuft. Erschwerend kommt hinzu wenn statt tcp auf udp gesetzt wird, welches viele Portscanner überhaupt nicht scannen können oder nur auf gesonderten Auftrag tun. (udp Scans dauern auch lange.)

Ein Firewall kann nie 100% Sicherheit garantieren oder erwirken. Aber ein Firewall verhindert auf alle Fälle simple Einfallstore zu schließen und es schwieriger (und damit unattraktiver) zu machen irgendwelche Verbindungen einzubauen. Hinzu kommt, daß Bugs in sog. Superservern wie xinted und launchd so nicht so leicht auszunutzen sind.

Ein ausgehender Application based Firewall hilft dabei zusätzlich solche Dinge zu entdecken. Garantien gibt es allerdings keine. Auch an LittleSnitch kann man Daten vorbeischummeln. Nicht unbedingt einfach, aber es geht.

Ich bleibe bei meiner Empfehlung den Mac OS X Firewall immer eingeschaltet zu lassen. (Auch daheim im LAN hinterm Router. Der nächste Angreifer könnte sich ja auch im selben Teilnetz wie ich befinden!)
Gruß Pepi
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Hmm... Firewall-Konfigurationen sind nicht gerade einfach. Gestern hatte ich testhalber alles geblockt. Meine PS2 machte aber immernoch Verbindung. Naja-, ich habe jetzt die Router-Firewall ausgeschaltet und die OSX-Firewall eingeschaltet. Das Problem ist nur, im LAN soll Personal File Sharing aktiv sein, im WAN allerdings nicht. Ich hab mal einen Screeshot von der Router-Firewall reingestellt. Vielleicht kann jemand ein paar Anregungen dazu geben.
 

Anhänge

  • Web Configurator.jpg
    Web Configurator.jpg
    48,9 KB · Aufrufe: 112
Zuletzt bearbeitet:

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Ich bleibe bei meiner Empfehlung den Mac OS X Firewall immer eingeschaltet zu lassen.
Das ist schlichtweg Blödsinn. Wer einen typischen Router sein eigen nett, hat doch in diesem schon längst eine Firewall eingebaut. Noch eine weitere bringt nicht viel, zumal Firewalls auf demselben Rechner wie der, der geschützt werden soll, faktisch sinnfrei sind. Die billigen Firewalls für zu Hause sind sowieso nur packet filter und keine application level gateways, die Dinger lassen sich relativ leicht überwinden, in dem Sinne, daß man aufs trivialiste Ports für andere Dienste mißbrauchen kann.
(Auch daheim im LAN hinterm Router. Der nächste Angreifer könnte sich ja auch im selben Teilnetz wie ich befinden!)
Der ist echt gut. Wie sollte er das? Dazu müßte er schon die Firewall im Router überwinden und wenn er das kann habe ich ein großes Problem. Wer natürlich so dumm ist WLAN und Bluetooth zu benutzen, dem kann eh nicht geholfen werden. Insbesondere Bluetooth ist ein riesigen Einfallstor, WLAN ist nicht viel besser.

Das große Problem bei der Computer(un)sicherheit ist das Social Engineering und somit sitzt das Sicherheitsproblem fast ausnahmslos vor dem Computer, weil aus Bequemlichkeit notwendige Sicherheitsmaßnahmen ausgehebelt werden.
 
  • Like
Reaktionen: debunix

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Das ist schlichtweg Blödsinn. Wer einen typischen Router sein eigen nett, hat doch in diesem schon längst eine Firewall eingebaut. Noch eine weitere bringt nicht viel, zumal Firewalls auf demselben Rechner wie der, der geschützt werden soll, faktisch sinnfrei sind. Die billigen Firewalls für zu Hause sind sowieso nur packet filter und keine application level gateways, die Dinger lassen sich relativ leicht überwinden, in dem Sinne, daß man aufs trivialiste Ports für andere Dienste mißbrauchen kann.

Der ist echt gut. Wie sollte er das? Dazu müßte er schon die Firewall im Router überwinden und wenn er das kann habe ich ein großes Problem. Wer natürlich so dumm ist WLAN und Bluetooth zu benutzen, dem kann eh nicht geholfen werden. Insbesondere Bluetooth ist ein riesigen Einfallstor, WLAN ist nicht viel besser.

Das große Problem bei der Computer(un)sicherheit ist das Social Engineering und somit sitzt das Sicherheitsproblem fast ausnahmslos vor dem Computer, weil aus Bequemlichkeit notwendige Sicherheitsmaßnahmen ausgehebelt werden.

Ich habe nie gesagt, daß Firewalls alles und jeden versuchten Fremdzugriff unterbinden können. Ich habe auch nie Aussagen über die Qualität oder Konfigurierbarkeit irgendwelcher spezifischen Firewalls getroffen. Ich habe auch nicht behauptet, daß man Tools wie LittleSnitch nicht umgehen oder austricksen könnte.

Naja, er soll ja garnicht. Aber es gibt tatsächlich Netzwerke in denen mehr als ein Computer vorhanden ist. Ob dieser nun dort sein soll oder darf ist relativ unerheblich wenn er es ist. Ob sich da jemand in poehser Absicht durch die Schutzmechanismen Deines WLANs hackt oder ob einfach nur der verseuchte Laptop eines Freundes bei Dir mit einem Kabel am Switch hängt ist unerheblich. Sobald das der Fall ist hast Du einen Angreifer der bereits an Deinem Routerfirewall, egal wie gut der konfiguriert ist vorbei ist. Der Angreifer der aus dem LAN kam. Das geht schneller als man glaubt. Dann hast Du noch den Firewall Deines Rechners der Dich davor schützen kann. Sofern er eingeschaltet ist.

Aber egal wie man es argumentiert mußt Du in jedem Fall zugeben, daß es aufwändiger sein wird zwei oder mehrere Firewalls zu umgehen als nur einen oder garkeinen. Da man dies mit sehr einfachen Mitteln erreichen kann wäre es meiner Ansicht nach fahrlässig diesen einfachen Schritt nicht zu tun.

Von Social Engineering hat in diesem Zusammenhang niemand gesprochen und dem kommst Du auch mit Zugangskontrollen nicht bei. Ein gültiges Passwort ist eine Rose ist eine Rose ist eine Rose.

Außerdem bewahre, daß einer Deiner Mitarbeiter vorsätzlich etwas böses tun will, weil sein letzter Urlaubsantrag nicht gewährt wurde oder weil jemand ihm in der Kantine das letzte Tiramisu vor der Nase weggeschnappt hat.
Gruß Pepi
 

chrisrig

Süssreinette (Aargauer Herrenapfel)
Registriert
07.11.06
Beiträge
408
Hallo,
danke für den link, sehr interessant und sehr gut gemacht :)

wieviel Firewalls ein Mensch braucht um sich sicher zu fühlen bleibt wohl Geschmackssache...

GRUZ