From: Felix von Leitner Newsgroups: de.comp.security.firewall Followup-To: Subject: Halbe Sicherheit und (Personal) Firewalls Reply-To: Hier wird gerne und häufig Personal Firewalls ein Sinn herbei zu argumentieren versucht, daß ein bißchen Schutz ja immerhin besser als gar kein Schutz ist. Nun frage ich mich: wo wohnt ihr? Im Erdgeschoß? Habt ihr da Fenster, die man nicht aufmachen darf, weil sie einem sonst auf den Fuß fallen, aber immerhin schützen sie vor Insekten? Oder vielleicht im 3. Stock? Habt ihr da einen Fahrstuhl, der manchmal abstürzt oder stecken bleibt? Aber immerhin bringt er einen manchmal hoch? Das ist doch besser als nichts, gell? Und man kann ja immer noch das Treppenhaus nehmen. Gegen das Geländer darf man sich nicht gegenlehnen, weil es sonst abbricht und zu schweren Verletzungen führen kann, aber es ist immerhin besser als wenn man gar keines hätte, nicht? Sicherheitsanforderungen an eine Firewall sind in vielerlei Hinsicht wie die an ein Geländer. Es muß Halt geben. Bei Sicherheit geht es um Verläßlichkeit, egal ob im Computer oder im Leben! Es muß deterministisch sein, gegen welche Attacken es hilft und gegen welche es nicht hilft. Wenn das Geländer maximal 200 Kilogramm Druck aushält, dann kann man damit kalkulieren. Bei der Personal Firewall gibt es diese Art von Zusage nicht, weil sie eben ausgehebelt und abgeschaltet werden kann. Daher muß eine verläßliche Firewall immer von Anwendungen und dem Zugriff auf das System geschützt werden. Das gilt auch z.B. für eine PIX oder eine Elsa-Firewall! Sobald es eine Möglichkeit gibt, daß ein Angreifer auf der Firewall-Kiste Code ausführen kann (weil der Anwender wo drauf geclickt hat oder aus welchem Grund auch immer), dann kann man sich nicht auf ihre Funktion verlassen! Ob das Betriebssystem Linux, Windows oder IOS heißt, spielt keine Rolle. Und diese Beobachtung ist auch der Grund, wieso man Router und Server trennt. Server bieten Angriffsfläche, bei der die Wahrscheinlichkeit, daß mal irgendwann ein Bug gefunden wird, der es einem Angreifer erlaubt, Code auszuführen, deutlich größer als Null ist. Auch ein IP-Stack oder ein Paketfilter kann Bugs haben, keine Frage. Nur folgt daraus nicht, daß man das mit der Sicherheit eh vergessen kann, sondern daß man auf Routern alle Dienste (HTTP, telnet, SMTP) abschaltet und nur Paketfilter einsetzt, bei denen man die Funktion anhand des Quellcodes verifizieren kann. Felix