Diskussionsthread der künftigen „Firewall FAQ für Fortgeschrittene“
Vorwort:
Das ist ein Versuch, eine FAQ in einer bilateralen Form zu erstellen. Du befindest dich in einem einen Diskussionsthread für die künftige „Firewall FAQ für Fortgeschrittene“. Hier kannst du Kommentare zur FAQ schreiben, Fragen stellen, welche zum aktuell diskutierten Thema passen, Änderungsvorschläge unterbreiten, sowie eine Nützlichkeitsbewertung abgeben. All das wird die FAQ beeinflussen.
Bitte verwechsle den Titel „für Fortgeschrittene“ nicht mit den Begriff „für Profis“. Davon ist diese FAQ weit entfernt. Es geht hier lediglich um Leser, welche ein wenig über den Tellerrand der „Firewall FAQ für Laien“ hinaussehen wollen.
Ziel des Threads:
Ziel ist es, einzelne Themen hier mit euch nacheinander zu diskutieren. Nach jedem Thema werden die Erkenntnisse in kurze, blau markierte Beiträge zusammengefasst. Ich hoffe, dass dadurch eine nützliche FAQ entsteht.
Mit dem Wissen um die Sicherheitslücken kannst du die Gefahren richtig einschätzen und dich vor Schaden schützen, indem du dich bei der Verwendung einer Firewall an bestimmte Verhaltensregeln hältst.
Die endgültige Version wird wie ein Buch aufgebaut sein (Inhaltsverzeichnis + untereinander liegende Beiträge). Also keine Debatten und Zusammenfassungen zu den einzelnen Themen mehr. Dieser Thread hier bleibt als reiner Diskussionsthread bestehen, auf die ich dann in den Beiträgen verlinken werde.
Bewertung:
Die Forumssoftware liefert eine Möglichkeit herauszufinden, ob der Thread für dich hilfreich ist, oder nicht. Leider funktioniert das nicht unter einem Gast-Account. Du musst dich also mit deiner registrierten Kennung anmelden, dann den Thread öffnen und oben auf der Optionsleiste den Menüpunkt „Bewertung“ auswählen. Damit kannst du mir ein Feetback gaben, ob der Thread für dich hilfreich ist, oder nicht. Davon habe ich persönlich nichts – es gibt also KEINE Bonuspunkte für den Account oder dergleichen, die ich mir damit erschleichen könnte oder mit denen du meinem Account schaden kannst.
Neben dem Sterne-"Barometer" (Nützlichkeitsbewertung) benötige ich dringend deine direkte Kritik, denn ich kann nicht Hellsehen. Konstruktive Verbesserungsvorschläge sind natürlich ebenso gerne gesehen. Die FAQ ist für dich gedacht, nicht für mich.
Wenn Dir die FAQ gefällt, dann hält dich natürlich niemand davon ab, auch die helfenden Forumanwender wie z.B. catweazle, sys3, kommune23, tele, io.sys, pirke und Invicta positiv zu bewerten. Dieser Art der Bewertung funktioniert etwas anders und verschafft dem Anwenderaccount motivierende Bonuspunkte.
Und so geht’s: Mit der registrierten Kennung anmelden, auf die oben aufgeführten Kennungen klicken, dann links unten auf die Waage gehen: „[x] Diesen Beitrag positiv bewerten“ ankreuzen, eine kurze Bemerkung und ggf. Deinen Namen angeben, fertig.
Wichtiger Hinweis zur Bewertung:
Wenn du diesen Thread bewertest, dann beziehe dich bitte auf die Verständlichkeit der blau markierten „Zusammenfassungen“ und nicht auf den chaotischen Aufbau des Threads. Der Grund für das Chaos wird unter dem Abschnitt "Historie" erklärt. Wie unter „Ziel des Threads“ bereits erwähnt, wird die endgültige Version der FAQ natürlich einen anderen Aufbau erhalten.
Historie + Hinweis zu den Zusammenfassungen:
Die FAQ ist aus einer Reaktion auf den Thread ”Welche Firewall ist die beste??“ von P4 übertakter18 heraus entstanden. Der Thread war ursprünglich für Berater aus dem Security-Forum gedacht und hieß schlicht „Was ist eine Firewall?“. Er sollte helfen, Missverständnisse zu klären. Jeder der sein Wissen erweitern möchte oder weitergeben will, war (und ist noch immer) eingeladen, sich daran zu beteiligen.
Irgendwann wurde entschieden, den Thread in zwei Teile aufzuspalten. Ein Thread mit dem Titel „Firewall FAQ für Laien“. Der Ursprungsthread hier wurde zur „Firewall FAQ für Fortgeschrittene“. Das hat allerdings zur Folge, dass beide Threads vom Aufbau her chaotisch geworden sind (der neue Thread enthält nun einen Teil der alten Zusammenfassungen ohne die dazu gehörenden Debatten und in diesem Thread hier fehlen nun etliche Zusammenfassungen). Dem Chaos kann man nur noch mit Hilfe des folgenden Inhaltsverzeichnisses Herr werden. Bitte verwende deshalb das Inhaltsverzeichnis als „zentrale Steuereinheit“, wenn du dich durch die bereits erörterten Themen kämpfst. Wie gesagt: In der endgültigen Version wird es das Chaos dann nicht mehr geben.
Daraus folgt eine Zusammenfassung der grundlegenden Verhaltenregeln, die man benötigt, um den Firewallschutz nicht „aus versehen“ zu verlieren.
Um Alternativen aufzuzeigen geht es dann um Tipps im Umgang mit Systemen, die nicht durch eine Firewall geschützt werden.
Wir werden versuchen zu klären, ob und wann es Sinn macht, eine Desktop Firewall bzw. eine externe Firewall einzusetzen (eine leidige, aber wichtige Diskussion - und zugleich die größte Herausforderung dieses Projekts)
Mir ist klar, dass ich im Laufe des Threads vieles von euch lernen werde. Und darauf freue ich mich schon …
Bye, Ronald
-----------------------------------------
Fangen wir zuerst mit der ersten, etwas provokanten Frage an:
Was ist eine Firewall?
Bitte gebe hier keine Links an. Es geht - wie gesagt - um DEIN Wissen. Nur so kann die FAQ helfen, Missverständnisse auszuräumen. Und vergesse solche Aussagen wie „Es gibt keine Firewalls, weil eine Firewall nichts weiter als ein Konzept ist …“ und dergleichen. Damit ist hier niemandem geholfen.
Firewalls sind (Hardware- oder Software) Komponenten, die Rechner/Netzwerke voneinander trennen und dabei nur definierte Zugriffe von einem in das andere Netz zulassen.
ich klammere im Weiteren zunächst einmal Personal Firewalls aus (nicht, weil ich sie schlecht finde, setze ja selber eine ein).
Firewalls können grundsätzlich in zwei Gruppen unterteilt werden
1.) Paketfilterbasierte Firewalls
2.) Application Level Gateway
Die ersten Firewalls waren paketfilterbasierte (Layer 3/4 ISO/OSI) Firewalls, deren Regelwerk hauptsächlich auf Source/Destination und Service basierten (z.B. Cisco Pix).
Demgegenüber standen die sogenannten Application Level Gateways (ALG), welche im Gegensatz zu Paketfilterfirewalls durchlaufende Pakete auch auf ihren Inhalt untersuchten.
ALGs sind sicherer, während Paketfilter robuster und schneller sind.
Aktuelle Hochsicherheitsfirewalls bestehen in der Regel aus einer Kombination aus externem Paketfilter, ALG und internem Paketfilter (PF).
Zweck dieser Kombination ist, den ALG vor nicht zugelassenen Paketen zu "schützen", da die inhaltliche Analyse von Paketen recht aufwändig ist und für die Entscheidung, ob Pakete grundsätzlich zugelassen werden von Paketfiltern wesentlich performanter abgearbeitet werden kann, ein PF kommt mit flood/DOS oder Portscan Angriffen somit grundsätzlich besser zurecht, als ein ALG.
Demilitarisiete Zone (DMZ).
Eine DMZ ist eine Zone, welche sowohl von extern als auch von intern durch die Firewall gesichert ist.
(Drittes Bein der Firewall).
In dieser Zone sind häufig Server angesiedelt, auf welche sowohl vom internen Netz, als auch vom externen Netz zugegriffen wird.
Wenn ein solcher Server extern angesiedelt wäre, wären die Zugriffe der internen Mitarbeiter nicht sicher, würde er im internen Netz stehen, wäre das gesamte Netz unsicher, da Verbindungsaufbauten von aussen zugelassen werden müssten.
Virtuelles Private Netzwerk (VPN).
Neuere Firewalls bringen die Möglichkeit, über sogenannte VPN Module sichere Verbindungen über ein unsicheres Netz (idR. Internet) herzustellen.
Eine Möglichkeit ist, dass an zwei Punkten im Internet Firewalls stehen, welche über eine ssl-Verbindung (secure socket layer) Pakete von einem Rechner aus Netz A an einen Rechner in Netz B sendet.
Für die Nutzer geschieht dies (bis auf etwas längere Laufzeiten) transparent.
So, das war es erstmal, jetzt muss ich erstmal was schaffen .
Ok.
Wenn ich bei einem Freund/Bekannten eine Desktop/Software-Firewall installiere und die Frage gestellt bekomme: "wofür issn das?" antworte ich in der Regel sowas wie:
Die Firewall hält Programme auf deinem Copmuter davon ab, ohne dein Einverständnis mit der Außenwelt zu kommunizieren und verhindert bösartige oder ungewollte Zugriffe auf dein System von außen.
Eine sehr einfache Erklärung ohne Fachchinesisch.
Vielleicht nicht sehr detailliert - aber inhaltlich doch korrekt, oder?
Ich frage mich aber noch immer, welche Information auf meinem PC den Aufwand und die kriminelle Energie rechtfertigen sollte, dass jemand meine Firewall umgeht?
Vielleicht blauäugig gedacht - aber derjenige könnte sich zigmillionen Systeme aussuchen, die völlig ungeschützt sind.
"‘Multiple exclamation marks‘", he went on, shaking his head, "‘are a sure sign of a diseased mind‘." Terry Pratchett
Vielleicht jemanden mit dem du momentan im Streit bist. Du hast dich zusammen mit deinen Freunden im IRC ein wenig lustig gemacht und dieser fühlt sich jetzt gekränkt. Was also liegt näher wenn dieser umfangreiches Wissen über Computer, etc. besitzt? Genau
@Ronald
sehr gute Idee mit diesem Thread hier, habe nur leider nicht allzuviel Zeit, da mein kompletter PC nicht mehr angehen will.
@Catweazle
Astreines Statement. Ich freue mich sehr, dass Du hier mitmachst. Dadurch wird der Thread garantiert nicht uninteressant.
@Kommune23
Zitat:
Zitat von Kommune23
Die Desktop-Firewall hält Programme auf deinem Copmuter davon ab, ohne dein Einverständnis mit der Außenwelt zu kommunizieren und verhindert bösartige oder ungewollte Zugriffe auf dein System von außen.
Kurz, sehr verständlich und präzise in einem Satz auf den Punkt gebracht. Respekt. Ich brauchte dafür immer drei Sätze. Darf ich den Satz klauen?
(Damit für andere Leser keine Missverständnisse aufkommen, habe ich das Wort Desktop in Deinem Satz integriert. Ich hoffe das geht so in Ordnung?)
Zitat:
Zitat von Kommune23
Ich frage mich aber noch immer, welche Information auf meinem PC den Aufwand und die kriminelle Energie rechtfertigen sollte, dass jemand meine Firewall umgeht?
Genau so stelle ich mir diesen Thread vor. Durch Deine Frage hast Du zwei sehr wichtige Themen angesprochen, welche ich sonst übersehen hätte: Welche Gründe gibt es, die Firewall zu umgehen (von innen nach aussen)? Und vor allem: Warum will überhaupt jemand auf Deinen PC zugreifen?
Eine externe Firewall stellt eine kontrollierte Verbindung zwischen zwei Netzwerken her. Das könnten z.B. ein privates Netz und das Internet sein.
Eine Personal- oder Desktop Firewall kontrolliert die Verbindung zwischen dem PC und dem Netzwerk, an dem der PC angeschlossen ist. Sie ist also in der Lage, Netzwerkzugriffe zwischen dem PC und dem Internet genauso zu kontrollieren, wie die Zugriffe zwischen dem PC und dem lokalen Netz (dem LAN).
In beiden Fällen überwacht die Firewall den durch sie hindurch laufenden Datentransfer und entscheidet an Hand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. den PC vor unerlaubten Zugriffen zu schützen.
Zusätzlich werden im Bedarfsfall unerlaubte Zugriffe mit Hilfe der Firewall protokolliert, um den Anwender ggf. auf Attacken aufmerksam zu machen. Hierbei werden allerdings lediglich Verstöße gegen eingestellte Regeln als möglicher „Angriff“ erkannt. Von solchen Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall jedoch nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender-/Zieladresse und genutzten Diensten – zu erlauben.
Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig (Intrusion Detection System), welche auf eine Firewallsoftware aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.
Und hier kommt auch schon die nächste Frage an euch: Ist eine Firewall auch dann notwendig, wenn Du nichts zu verbergen hast? Weshalb sollte jemand versuchen, in ein System einzudringen, welches KEINE relevanten Daten für den Eindringling bereithält? Ist solch ein unwichtiges System überhaupt schützenswert?
Und hier kommt auch schon die nächste Frage an euch: Weshalb sollte jemand versuchen, in ein System einzudringen, welches KEINE relevanten Daten für den Eindringling bereithält? Ist solch ein unwichtiges System überhaupt schützenswert?
Wenn jemand auf dem System eindringt, könnte er
- einen kostenpflichtigen Dialer installieren
- einen Keylogger installieren, der auf die nächste PIN/TAN-Homebanking-Session wartet
- eine Hintertür installieren, die es ihm erlaubt, über den kompromitierten Rechner SPAM zu versenden oder ihn als Server zum Download für illegale Dateien zu missbrauchen
Aber, Du hast schon recht, für Daten wie das letzte Schreiben an Deine Brieffreundin interessiert sich tatsächlich absolut niemand...
Hier kommt eine These, die zum Thema passt und bisher immer eine größere Diskussion ausgelöst hat. Ich bin mir der folgenden Ausführung nicht 100%’ig sicher. Es gibt viele widersprüchliche Aussagen dazu.
Also, was meint ihr wohl hat es für eine rechtliche Konsequenzen, wenn ein Hacker über ein heimlich installiertes Hackertool in Deinen PC eindringt. Dann geht er von dort aus - sozusagen unter Deinem Namen (also Deiner IP-Absenderadresse) - auf das System, welches er angreifen will. Der Angriff fliegt auf. Deine IP-Adresse ist dort registriert und das Opfer verklagt DICH (wenn es Dein privater PC war) oder den Betreiber des Netzes (also z.B. Deinen Arbeitgeber, wenn der Angriff über Deinen Arbeitsplatz-PC hinweg vorgenommen wurde). Voraussetzung für den hier konstruierten Fall ist, daß die Übernahme Deines PCs durch den Hacker mit Hilfe einer Firewall hätte verhindert werden können. Das Problem: Auf Deinem System bzw. in dem Netz Deines Arbeitgebers befindet sich keine Firewall.
Was soll schon passieren? Niemand kann von euch erwarten, dass ihr IT-Experten seid. Und von einer Firewall oder gar Hackertools habt ihr noch nie etwas gehört. So könntet ihr argumentieren. Nur helfen wird es euch nicht.
Das Problem: Eigentum verpflichtet.
Ich denke, ein Beispiel aus dem täglichen Leben kann besser verdeutlichen, was ich meine: Jeder Mensch darf sich ein Auto kaufen. Vor der ersten Fahrt auf öffentlichen Straßen ist er aber gezwungen, sich mit der Materie Autofahren auseinanderzusetzen. Er muß den Führerschein machen. Danach ist er informiert und man kann davon ausgehen, dass er sich über die Konsequenzen seines Handelns im Straßenverkehr bewusst ist.
In diesem speziellen Fall muß man zuvor also einen Nachweis erbringen, dass man sich mit der Materie auseinandergesetzt hat: Den Führerschein. Ein Radfahrer muß sich ebenfalls vor seiner ersten Fahrt über die Regeln des Straßenverkehrs informieren (ich habe aber das Gefühl, dass das kaum ein Radfahrer macht ). Er wird in fast allen Belangen genauso wie ein Autofahrer zur Rechenschaft gezogen, wenn er gegen die Regeln verstößt und dabei erwischt wird. Nur braucht er keinen Führerschein zum betreiben seines Rades.
Mit dem PC ist es nicht anders: Jeder darf sich einen PC kaufen. Nur betreiben darf man ihn erst, wenn man sich ernsthaft mit der Materie auseinandergesetzt hat. Im >> schlimmsten Fall << wird der Betreiber des PCs oder Netzwerkes - also Du oder Dein Arbeitgeber - rechtlich zur Verantwortung gezogen. Du haftest schließlich für Dein Eigentum und so obliegt es auch Deiner Verantwortung, Deinen PC (oder Server) vor Missbrauch zu schützen. Abhängig vom Richter kann das Fehlen einer Firewall als grob fahrlässig ausgelegt werden. Da hat sich in den letzten Jahren viel getan. Allerdings werden Firmen hier stärker zur Verantwortung gezogen, als Privatpersonen. Und eine „Firewall? Was ist das?“-Argumentation beeindruckt den Gesetzgeber in keiner Weise.
Ich sags nur, weil der Fehler immer wieder auftaucht: Das Wort "Hacker" wird zu unrecht oft kriminalisiert.
Die kriminelle Variante eines Programmierers nennt man "Crac.ker" (ohne den Punkt )
Erscheint vielleicht unwichtig - den Hackern ist dieser Unterschied aber sehr wichtig!
Zum Thema:
An Dialer hatt ich gar nicht mehr gedacht! Dank DSL.
Zu der Rechtslage, die Ronald angesprochen hat: Wenn jemand unbemerkt über ein offenes WLAN z.B. rechte Propaganda verbreitet, wird der Betreiber des Netzwerks (also des WLAN) zur Rechenschaft gezogen. Denn die Straftat ist nur bis zu jenem Netzwerk zurückzuverfolgen.
Ich könnte mir vorstellen, dass es Spuren hinterlässt wenn jemand etwas ähnliches durch eine Hintertür über meinen Rechner leitet.
Das wäre ja schon ein Nachweis für die eigene Unschuld.
________________________
Ich finde eigentlich, dass das Thema Firewall schon ganz gut erklärt ist.
Aber mit Hinweis auf den anderen Thread hab ich noch nichts überzeugendes gehört, warum man eine Desktop-Firewall nicht zur absicherung eines Systems empfehlen kann?
Eine (oder mehrere) Anleitung(en) zum umgehen einer Firewall wären hier sicher fehl am Platz - dann wird TPC nämlich morgen dicht gemacht.
Aber ich brenne darauf zu erfahren, wie ich mich ALTERNATIV absichern soll?
Der vergebliche Versuch, den Begriff des „wahren Hackers“ in der Bevölkerung zu etablieren:
Die Definition und Verwendung des Begriffs „Hacker“ ist Gegenstand einer anhaltenden Kontroverse zwischen den verschiedenen Hackerkulturen. Der Konflikt geht zurück auf die seit 1983 begonnene Verwendung des Hackerbegriffs durch die Medien, welche damit Personen bezeichneten, die an Einbrüchen in fremde Rechner beteiligt waren. Wie das Jargon File beschreibt, wurden diese Begriffsassoziationen vor allem innerhalb der akademischen Hackerkultur als unangenehm empfunden und seit 1990 als Gegenreaktion der Versuch unternommen, eine Abgrenzung durch die Einführung der Bezeichnung C*racker zu bewirken. Die avisierte Trennlinie war klar und einfach: Jemand der Sicherheitsbarrieren überwindet ist unabhängig von seiner Motivation kein Hacker, sondern ein C*racker. Die Forderung, ein anderes Wort zu verwenden, wurde jedoch von der Presse nicht wahrgenommen oder weitestgehend ignoriert.
Unter den Nachkömmlingen der Phreaking-Kultur, aus der zum einen eine Hackerkultur im Bereich der Netzwerk- und Computersicherheit hervorging, zum anderen eine Hackerkultur des kreativen Umgangs mit Technik jeglicher Art entstand, entwickelten sich dazu Gegenströmungen. Ihre Anhänger erheben weiterhin einen Verwendungsanspruch auf den Hackerbegriff, wobei sie einen anderen Weg beschreiten, seiner Konnotation der Illegalität entgegenzuwirken. Die Trennlinie zum C*racker wollen sie an der Motivation des Hackers orientiert sehen, weshalb dort ausschließlich die destruktiven Elemente aus dieser Szene abwertend als „C*racker“ betitelt werden: Stark vereinfacht ausgedrückt, lösen Hacker Probleme und bauen etwas auf, wohingegen C*racker Probleme erzeugen bzw. etwas zerstören. Im Detail bauen Hacker beispielsweise Informationsnetze auf, machen auf Sicherheitslücken aufmerksam (und erreichen so, dass diese geschlossen werden), schreiben zum Teil freie Software oder betätigen sich konstruktiv in einem anderen Umfeld, welches zu den zahlreichen Definitionen des Begriffs „Hacker“ passt. C*racker legen hingegen Computer- und Telefonnetze lahm, löschen oder verändern wichtige Daten, bereichern sich auf kriminelle Art oder terrorisieren ihre Mitmenschen durch absichtlich herbeigeführte Abstürze der Rechner. Einige Hacker fordern auch hier eine deutliche Abgrenzung zwischen Hacker und C*racker ein, doch spätestens wenn es um politisch motivierte Aktionen geht, wird ersichtlich, dass es an einer wirklich klaren Trennlinie zwischen „gut“ und „böse“ mangelt, was eine solche Unterteilung unpraktikabel macht.
Demgegenüber verwenden die meisten Menschen „Hacker“ weiterhin als Oberbegriff, der im Kontext zur Computersicherheit sowohl die („guten“) Hacker als auch die („bösen“) C*racker einschließt, und dominieren so die umgangssprachliche Bedeutung. Bezogen auf die IT-Sicherheit ist der Begriff „Hacker“ in dieser Form längst zu einem Elementarbegriff geworden.
Der neue Weg:
Nach jahrzehntelanger, vergeblicher Mühe der Hacker Community, den allgemeinen Gebrauch des Begriffs Hacker grundlegend zu ändern, wird es Zeit umzudenken, was die folgende Initiative ins Leben rief: Ohne die Hackerdefinition an moralische Doktrin zu binden, sollte der Begriff „Hacker“ wieder einheitlich als der Überbegriff anerkennt werden, der alle Hackerkulturen umschließt und innerhalb der Kulturen auch alle destruktiven Facetten des Hackens unter sich vereint. Denn erst die Akzeptanz der sprachgebräuchlichen Definition durch die Hackergemeinschaft ermöglicht es, eigene Positionen allgemeinverständlich darzulegen und den Begriff „Hacker“ zwischen den Verfechtern der Hackerkulturen und der Allgemeinheit benutzbar zu machen.
Die Verwendung des Begriffs Ethickerd stellt eine Folge der Initiative dar. In Bezug auf die Nachkömmlinge der Phreaking-Kultur vereint er White- und Grey-Hat-Hacker unter sich und dient dazu, eine Akzeptanz der Initiative Ausdruck zu verleihen, wobei er jenseits der Computersicherheit auch Hacker aus allen anderen Hackerkulturen umschließt, die ethischen Grundsätzen folgen. So soll der Begriff all jenen als Alternative dienen, welche sich unter den genannten Bedingungen von den destruktiven Elementen unter den Hackern distanzieren wollen. Gegenüber der alten Strategie bietet er die Chance, dies auf eine für die Allgemeinheit verständliche Weise zu tun, ohne fortwährend die Hackerdefinition in den Köpfen der Bevölkerung umkehren zu müssen. Elementar für die Initiative ist es, dass sich dadurch ethische Ideologien nunmehr außerhalb der allgemeinen Hackerdefinition manifestieren lassen.
Hacker
Ein Hacker ist ein Computerbenutzer, der sich mit dem Erstellen und Verändern von Computersoftware oder –hardware beschäftigt und dabei ein überdurchschnittliches Fachwissen aufweist oder eine Person, die mit ihren Fachkenntnissen eine Technologie beliebiger Art außerhalb ihrer eigentlichen Zweckbestimmung benutzt, wobei sich ein Hacker mit seinen Tätigkeiten besonders identifiziert.
In der Computersicherheit ist ein Hacker jemand, der mit seinem Fachwissen Sicherheitslücken sucht, ausnutzt und damit (manchmal in Verbindung mit zusätzlichen Taktiken) unter Umgehung der Sicherheitsvorkehrungen Zugriff auf ein Rechnersystem erlangt oder Zugang zu einer sonst geschützten Funktion eines Computerprogramms erhält bzw. dabei hilft, solche Schwachstellen zu erkennen und zu beseitigen.
In der Programmierung ist ein Hacker ein Programmierer, der komplizierte Probleme mit einfachen Mitteln löst. Das kann sich einerseits auf besonders elegante, andererseits auch auf ineffiziente, unschöne und ungeschliffene Lösungen beziehen.
In der Hardwareentwicklung entwickelt oder verändert ein Hacker Hardware auf Gate-Ebene, schreibt Gerätetreiber und Firmware oder beschäftigt sich mit den physikalischen Grundlagen der Netzwerke, insbesondere wenn er dabei Dinge außerhalb der Spezifikation verwendet. Daran angelehnt gibt es auch Strömungen, in denen Hacken allgemeiner als übergreifende Kultur des kreativen Umgangs mit Technik jeglicher Art verstanden wird, wodurch der Begriff „Hacker“ in verschiedenen, auch nicht informationstechnischen Bereichen, Verwendung findet.
Im Hackerjargon wird ein Hacker überdies allgemein als Person mit Fachkenntnissen auf einem beliebigen Gebiet der Technologie bezeichnet. So kann z.B. auch jemand auf dem Fachgebiet der Astronomie ein Hacker sein.
In der Hackerkultur ist ein Hacker eine Person, die einen gewissen sozialen Status erreicht hat und die durch ihre Identifikation mit den kulturellen Werten und durch Besitz hinreichender Fachkenntnisse einen entsprechenden Grad an gesellschaftlicher Anerkennung aufweist.
Dessen ungeachtet findet der Begriff „Hacker“ in den Medien meist im Kontext eines destruktiven Computerexperten Anwendung, der seine Fertigkeiten vornehmlich für kriminelle Zwecke nutzt. Von dieser Verwendung abgeleitet, werden Hacker umgangssprachlich schnell mit kriminellen Menschen in Verbindung gebracht, die böses im Schilde führen und der Gesellschaft Schaden zufügen wollen.
Hacker als Programmierer:
Innerhalb der akademischen Hackerkultur bezieht sich die Verwendung des Hackerbegriffs seit Anfang der 1990er vorrangig auf die Programmierer der Open-Source- und freie-Software-Bewegung.
Hacker in der Computersicherheit:
Innerhalb der Computersicherheit wird die wahre Herausforderung des Hackens darin gesehen, Sicherheitsmechanismen zu überlisten und somit Schwachstellen erkennen zu können. Abhängig von der Motivation wird hier unterschieden zwischen destruktiven Hackern, die man abwertend Crasher oder C*racker nennt und konstruktiven, ethischen Hackern, welche als Ethickerd charakterisiert werden. In der Hackerkultur existieren weitere Klassifizierungen, wie beispielsweise Hacktivist als Bezeichnung für jemanden, der seine Fähigkeiten zu politischen Zwecken einsetzt. Seit der Einführung von Strafen für Computerkriminalität wird in der Fachwelt unterschieden zwischen Black-Hat-, White-Hat- und Grey-Hat-Hackern, abhängig von der Motivation und Loyalität zu solchen Gesetzen. Diese Einteilung basiert aus alten Western-Filmen, welche „Cowboys“ auf Grund ihrer Hutfarbe als „böse“ (schwarz), „gut“ (weiß) oder „neutral“ (grau) charakterisiert.
Innerhalb der Computersicherheit unterscheidet die Fachwelt auch deutlich zwischen einem Hacker als Sicherheitsexperten und einem in der Sache unkundigen Skriptkiddie, welches ohne Kenntnis darüber agiert, wie die verwendete Schwachstelle funktioniert. Da die beim Hackerbegriff notwendigerweise tieferen Grundlagenkenntnisse der Materie bei einem Skriptkiddie nicht vorhanden sind, kann es Sicherheitsbarrieren ausschließlich mit Hilfe eines Skripts in Form einer schrittweisen Anleitung und vorgefertigter, stark automatisierter Programme überwinden, doch fehlt ihm die Fähigkeit, im Problemfall zu improvisieren. Dennoch möchten sich auch Skriptkiddies gerne als Hacker verstanden wissen und sind oft durch den Wunsch des aktiven Erlebens des Hackermythos motiviert.
Hardware-Hacker:
Hacken bedeutet hier vor allem auch Wissen und Einblick in das Funktionieren von Technologie. Ein Hacker der Hardware auf Gate-Ebene anpasst oder Gerätetreiber und Firmware schreibt, genießt für gewöhnlich ein sehr hohes Ansehen in den verschiedenen Hackerszenen. Das begründet sich hauptsächlich im Schwierigkeitsgrad und der enormen Komplexität ihrer Tätigkeit. Während Grundkenntnisse Ende der 1970er Jahre vor allem im Zusammenhang mit eigenen Reparaturen von Heimcomputern oder Selbstbau-Sets recht gängig waren, sind sie in den 1990er Jahren immer seltener geworden.
Der Begriff „Hack“ steht hier allgemein auch für die Erweiterung von komplexen Programmen oder für einen Code, der Zugang zu einem Gerät verschafft bzw. eine neue Funktion verspricht, die in dieser Form vom Hersteller nicht vorgesehen war. Auch ein Umbau der Hardware fällt darunter (z.B. Playstation-Hack). So wird der Begriff des Reverse Engineering ebenfalls der Hacker-Sphäre zugerechnet. Wie so oft verwischt sich hier zumeist die Spur zwischen den Begriffen „Hacker“ und „Software C*racker“.
Selten spricht man auch beim Casemoddern von Hardware-Hackern. Ihnen geht es um das optische (durch ungewöhnliche Gehäuse, Lichteffekten und ähnlichem) und mechanische (Wasserkühlungen) Aufmotzen von PCs. Sie teilen viele Werte mit dem Autotuning.
Der im deutschen Raum hauptsächlich für Belange der Computersicherheit, aber auch darüber hinaus einflussreiche Chaos Computer Club (CCC) sieht das Hacken allgemeiner als übergreifende Kultur des kreativen Umgangs mit Technik jeglicher Art. Wau Holland war einer der großen Leitfiguren des Clubs und prägte den Ausspruch: Wenn man die Kaffeemaschine benutzt, weil der Herd nicht geht, um Wasser heiß zu machen, welches dazu verwendet wird, die Fertigmischung für Kartoffelbrei zuzubereiten, dann ist man ein Hacker.
weitere Assoziationen zum Hackerbegriff:
Im Allgemeinen besteht eine starke Assoziation zwischen den Begriffen Hacker und Computerfreak oder -spezialist, wobei mit diesen Bezeichnungen auf größeren Erfahrungsreichtum in der Computeranwendung hingedeutet wird, ohne jedoch das für den Hackerbegriff notwendige tiefere Grundlagenkennwissen zwingend vorauszusetzen. Auch nennen sich Leute, die eine Affinität zur Hackerkultur zeigen, gerne „Nerd“ oder „Geek“, was im Computerkontext eine spezielle Art des Computerfreaks charakterisiert.
Menschen, die maßgeblich daran beteiligt waren, das Internet aufzubauen, oder die aktuell dazu beitragen, den Nutzen des Internets entscheidend zu erweitern, werden innerhalb der Hackerkulturen ebenso einvernehmlich als Hacker bezeichnet, wie die Entwickler der wichtigsten Meilensteine in Bezug auf Wissenschaft, Technik und Software.
Unter allen Hackerkulturen versteht man unter einem Hack oft auch eine verblüffend einfache, (manchmal) elegante und pfiffige Lösung eines nichttrivialen Problems. Als besonders geschickter Hacker, der die Dinge mit einfachen Mitteln angeht, wird in diesem Zusammenhang scherzhaft jemand bezeichnet, der sinnbildlich nur mit einer Axt als Werkzeug Möbel herstellen kann.
Im Bezug auf Improvisation versteht man unter dem Begriff „Hacker“ nicht zwingend einen Fachmann. Abhängig von dem Gebiet, in dem er sich betätigt, kann der Hacker durchaus als Synonym für einen Amateur stehen, der einen Hack für die Lösung eines Problems verwendet, weil er den sonst üblichen Weg nicht kennt.
Zudem existiert durchaus die Meinung, dass jeder Mensch, der einen Artikel in einem Wiki anpasst oder gar erstellt, ein Hacker ist (Auszug aus dem Diskussionsbeitrag der Wikipedia vom Dez. 2002 zum Begriff „Hacker“: „… ist die Wikipedia doch ein Hackerprojekt, sogar basierend auf dem Freiheitsgedanken im Sinne von GNU, und jeder, der schon mal nur einen einzigen Artikel angefangen oder nachbearbeitet hat, ist im Prinzip ein Hacker ... Leute, die innerhalb der Wikipedia Tastaturtests betreiben und Artikelinhalte wahllos rauslöschen, sind C*racker ...“).
Der Begriff „Hacker“ gilt auch als Synonym für jemanden, der am Computer seine Befehlszeilen auf eine sehr schnelle Art eingeben kann. Hierbei wird oft auf das Tippgeräusch Bezug genommen, welches so klingt, als würde jemand herumhacken.
ok - nächste Runde.
Ich hoffe, du kannst unsere einsame Diskussion auch mit ein bisschen Humor betrachten.
Zitat:
Zitat von Ronald
wer sagt Dir, dass das Schreiben und / oder die Veröffentlichung solcher TUT’s grundsätzlich strafbar sind?
War nur so'n Gedanke.
Vielleicht nicht grundsätzlich strafbar - aber wie du weißt, wird in letzter Zeit verstärkt nach zweifelhaften Inhalten im Internet gesucht und fröhlich drauflos geklagt.
________
Trotz zweimaligen lesens bin ich mir nicht ganz sicher, ob ich jetzt über Hacker und Crac.ker richtig oder falsch informiert bin.
Ich glaub aber auch, dass das Hacker-interne nuancen sind, die ich nicht zu verstehen vermag.
Mir persönlich ist das aber auch nicht soo wichtig, dass man darüber streiten sollte.
Hier gabs nur letztens 'n lustigen Thread über ein "gutes Hacker tut" - das hat mich ein bisschen angesteckt...
________
Mach hier einfach weiter, wie du dir das vorgestellt hast.
Dazu fehlt vielleicht eine Frage!
Und die lautet: Wie benutze ich eine Firewall richtig?
Die, die ich kenne, lernen von selbst. Aber vielleicht ist das ja nicht alles.
In diesem speziellen Fall muß man zuvor also einen Nachweis erbringen, dass man sich mit der Materie auseinandergesetzt hat: Den Führerschein. Ein Radfahrer muß sich ebenfalls vor seiner ersten Fahrt über die Regeln des Straßenverkehrs informieren (ich habe aber das Gefühl, dass das kaum ein Radfahrer macht ). Er wird in fast allen Belangen genauso wie ein Autofahrer zur Rechenschaft gezogen, wenn er gegen die Regeln verstößt und dabei erwischt wird. Nur braucht er keinen Führerschein zum betreiben seines Rades.
Mit dem PC ist es nicht anders: Jeder darf sich einen PC kaufen. Nur betreiben darf man ihn erst, wenn man sich ernsthaft mit der Materie auseinandergesetzt hat. Im >> schlimmsten Fall << wird der Betreiber des PCs oder Netzwerkes - also Du oder Dein Arbeitgeber - rechtlich zur Verantwortung gezogen. Du haftest schließlich für Dein Eigentum und so obliegt es auch Deiner Verantwortung, Deinen PC (oder Server) vor Missbrauch zu schützen. Abhängig vom Richter kann das Fehlen einer Firewall als grob fahrlässig ausgelegt werden. Ich bin mir da nicht ganz sicher, aber ich glaube das klingt nicht so gut. Da hat sich in den letzten Jahren viel getan. Allerdings werden Firmen hier härter ran genommen als Privatpersonen. Und eine „Firewall? Was ist das?“-Argumentation beeindruckt den Gesetzgeber in keinster Weise....
Da gibt es schon einen großen Unterschied, den auch Richter, gerade bei Privatpersonen, wohl diagnostizieren würden: Fahrerlaubnis/Führerschein und deren/dessern Bedeutung ist ein allgemein bekannter Begriff, selbst bei solchen Leuten, die selbst keine/-n besitzen. Bei einer "Firewall" ist das nicht der Fall. Bei der Werbung von Autohändlern kann anders als bei PC-Verkäufern daher nicht der Eindruck entstehen, Vorkenntnnisse seien zum Betrieb nicht notwendig. Bei mancher Werbung im PC-Bereich habe ich dagegen das dumme Gefühl (um es mal ultrafreundlich auszudrücken), exakt dies sei gerade beabsichtigt ("Bin ich schon drin? Das ist ja einfach!", "Windows XP - Alles wird leichter").
Die Definition und Verwendung des Begriffs „Hacker“ ist Gegenstand einer anhaltenden Kontroverse zwischen den Verfechtern der einzelnen Hackerkulturen:
Die akademische Hackerkultur (heute hauptsächlich Open-Source-Programmierer):
Die Wurzeln der akademischen Hackerkultur liegen in den frühen 1960er Jahren, als der Begriff „Hacker“ auch als Selbstzuschreibung von Computerfreaks an Minicomputern von Universitäten in Amerika verwendet wurde, die vor allem am MIT (Massachusetts Institute of Technology) eine rege Szene bildeten. Das MIT startete damals ein Projekt, um einen Timesharingcomputer zu entwickeln. Dieses Projekt wurde der Kern des AI-Laboratoriums, wo sich die ersten akademischen Hacker unter den Studenten etablierten, die sich zunächst auf Mathematik und Theorien der künstlichen Intelligenz spezialisierten.
Die akademische Hackerkultur entwickelte sich weiter, nahm Elemente aus dem Internet der 1970er und frühen 1980er sowie Teile der Homecomputerszene auf und überschneidet sich in der Gegenwart fast vollständig mit der Open-Source- und Freie-Software-Bewegung. Deren Verwendung des Hackerbegriffs bezieht sich daher seit Anfang der 1990er Jahre vorrangig auf die Programmierer eben dieser Bewegung.
Wie das Jargon File beschreibt, wurde die Assoziation zum Begriff „Hacker“ im Kontext der Computersicherheit von einigen Hackern der akademischen Hackerkultur als unangenehm empfunden, woraufhin seit 1990 der Versuch unternommen wurde, sich von anderen Hackerkulturen zu distanzieren. So sollten sämtliche Hacker, die Sicherheitsbarrieren überwinden, ungeachtet ihrer Motivation nicht als Hacker, sondern als C*racker bezeichnet werden. Damit spricht Eric S. Raymond, der Verfasser des Jargon Files, aber nicht für die gesamte Hackergemeinschaft. Viele Hacker teilen seine Auffassung nicht, wobei es auch einige Hacker gibt, die eine Trennlinie durchaus Beführworten, diese aber eher an der Motivation des Hackers orientiert sehen wollen.
Die Hackerkultur des Phreaking (heute Netzwerkhacker, Technikfreaks):
Ihre Wurzeln reichen zurück zu den ersten Phone-Freaks, kurz „Phreaker“ genannt, gegen Ende der 1960er (weniger populär) / Anfang der 1970er Jahre, die sich in Fernsprechnetze hackten. Mithilfe von Signaltönen aus selbstgebastelten elektronischen Schaltungen emulierten sie Steuerungsbefehle der Telefongesellschaften und schufen so Verbindungen über dutzende Schalter und Länder hinweg. Mit ihrer Technik konnten sie sich nicht nur in andere Telefonate hängen und deren Verbindungen manipulieren. Vor allem waren sie dadurch in der Lage, kostenlos zu telefonieren, um die hohen Telefonkosten für ihre langandauernden Modem- oder Akustikkoppler- und DFÜ-Verbindungen nicht tragen zu müssen. Phreaking wurde so oft zum Zwecke des Eindringens in fremde Computer betrieben. In diesem Zusammenhang dienten die technischen Schaltungen auch dazu, die Rückverfolgung solcher Aktivitäten zu erschweren.
Allmählich begann die Entwicklung von Computernetzwerken und die Telefongesellschaften wendeten sich computergesteuerten Telefonanlagen zu. Die Telefonhacker entwickelten sich daraufhin zu Hackern der digitalen Computernetzwerke. So entstand die Kultur der Netzwerkhacker, oder allgemeiner die Kultur der Hacker auf dem Gebiet der Computersicherheit. Parallel dazu entwickelte sich als weiterer Nachkömmling der Phreaking-Kultur eine Hackerkultur des kreativen Umgangs mit Technik jeglicher Art, die heute eine Subkultur unter den Hardware-Hackern bildet.
In den 1990er Jahren entwickelten sich mit dem allgemeinen Aufkommen von Gesetzen gegen Computersabotage hieraus Strömungen, die versuchten, ihre Aktivitäten auf legale Weise fortzusetzen. Auch sie verwenden den Begriff „C*racker“, um einer Konnotation der Illegalität des Hackerbegriffs entgegenzuwirken. Im Unterschied zur akademischen Hackerkultur wollen sie die Trennlinie jedoch einzig an der Motivation des Hackers orientiert sehen, weshalb dort ausschließlich die destruktiven Elemente aus dieser Szene abwertend als „C*racker“ betitelt werden. Manchmal wird auch hier eine deutliche Abgrenzung zwischen Hacker und C*racker gefordert, wobei die Reduzierung der Hackerdefinition auf eine Gruppe von Gutmenschen unter den Hackern stark umstritten ist. Nicht zuletzt die Tatsache, dass eine Unterteilung in „gut“ und „böse“ allenfalls vage und subjektiv sein kann, aber auch die Auffassung, dass eine solche Einschränkung zu dogmatisch ist, verhindert bislang eine flächendeckende Akzeptanz deren Definition.
Die Hackerkultur der Hobbyisten aus der Homecomputerszene (heutige Softwarec*racker und Demoszene):
Der Ursprung dieser Kultur orientiert sich an den bastelnden Amateurfunkern, wie es sie schon seit den 1920er Jahren gibt. Ihr starkes Interesse an Elektronik lieferte fruchtbaren Boden für den Gebrauch moderner Technologie. 1975 kam der erste weit verbreitete Personalcomputer, der MITS Altair 8800, als Bausatz (397 US$), aber auch als Komplettgerät (695 US$) auf den Markt, wodurch der Computer Einzug in die Wohnzimmer vieler Hacker fand. Einige weitere Heimcomputer wurden ebenfalls als Bausätze verkauft und förderten so die Tradition der Hacker, die Technik wirklich zu verstehen.
Heimcomputer wie der Commodore 64 mit Farbdarstellung und für damalige Verhältnisse ansprechender Audioqualität, zogen viele Spieler und Entwickler in ihren Bann. Die kommerzielle Software (hier insbesondere die Computerspiele) wurde von den Entwicklern jedoch immer öfter mit mehr oder weniger ausgeklügelten Kopierschutzmechanismen versehen. Den Kopierschutz auszuhebeln, um die Software für sich selbst und für befreundete Computerbenutzer in einem kopierbaren Zustand zu bringen, entwickelte sich unter diesen Hackern als eine technische Fertigkeit und Begabung. Hacker, welche die Fähigkeit hatten, kompilierten Softwarecode zu manipulieren, nannte man seit Anfang der 1980er Jahre auch „Software C*racker” oder kurz „C*racker“. In den frühen 1980er Jahren entstanden hieraus C*rackergruppen und der sich auf das Aushebeln von Kopierschutzmechanismen kommerzieller Software spezialisierende Teil der Warez-Szene, die sich parallel zur Hackerszene entwickelte.
Die C*rackergruppen rivalisierten untereinander. Der erste, der es schaffte, den Kopierschutz einer neuen Software zu knacken, erntete den Ruhm, weshalb die gec*rackte Software entsprechend kenntlich gemacht wurde, um sie einer C*rackergruppe zuordnen zu können. Immer öfter erzeugten sie dafür so genannte „Demos“, meist in Form von musikalisch unterlegten Echtzeit-Animationen, die dem C*rack beigelegt wurden. Es dauerte nicht lange, bis die Macher der Demos untereinander konkurrierten, wobei es zunächst galt, mit dem geringsten Code die bestmöglichen Effekte zu erzielen. Innerhalb der daraus entstandenen Demopartys entwickelte sich eine Plattform, auf der technische und künstlerische Fertigkeiten der Demomacher demonstriert werden konnten. In den späten 1990er Jahren hat sich daraus eine selbständige Demoszene entwickelt, die sich von der Warez-Szene nun distanziert sehen will und sich mehr der ursprünglichen Hackerszene verbunden fühlt.
Jenseits der widerrechtlichen Manipulation kommerzieller Software bildete sich auch eine legale C*racker-Szene begeisterter Programmierer, die mithilfe ihrer eigenen C*rackMes einen Sport auf geistiger Ebene praktizieren.
Die Hackerkultur der Hardware-Hacker:
Die Wurzeln dieser Kultur sind in allen Hackerkulturen gleichermaßen zu finden. Über den Modelleisenbahnclub des MIT erhielt sie in den späten 1950er Jahren ihren akademischen Bezug, wobei die frühen Zeiten der Homecomputerhobbyisten ihre Kultur ebenfalls stark prägte, gefolgt von den späten Nachkömmlingen der Phreaking-Kultur, aus der eine Subkultur der Hardware-Hacker hervorging, die sich dem kreativen Umgang mit Technik jeglicher Art verschrieben hat.
----
@sys3
Zitat:
Zitat von sys3
Fahrerlaubnis...ist ein allge. bekannter Begriff...
Gutes Argument. Aber bei einem Fahrrad ist das auch nicht der Fall. Und ein Rad ist noch viel einfacher zu erhalten und zu bedienen. Kaufen, raus aus dem Laden und losfahren. Mehr braucht es nicht, um ohne Licht als Geisterfahrer auf der Stadtautobahn unterwegs zu sein ... Wäre ja egal, wenn die Regeln der Autofahrer für ihn nicht gelten. Schließlich hat er ja keinen Führerschein.
Meinst Du evtl. einen Bastion Host? Das ist nach allg. Ansicht ein besonders gesicherter Rechner. Einige Hersteller (KryptoKom) haben ihren ALG als Bastion Host bezeichnet (was nach der Definition ja auch net falsch ist).
Aber einen Endrechner als FW zu betreiben widerspricht eigentlich der Forderung, dass auf einer Firewall kein Dienst laufen darf, der Zugriff auf die Firewall erlaubt (ein Sicherheitsloch in diesem Dienst könnte ja ein Angriffspunkt auf die ansonsten sichere Firewall sein).
Wer Securityfocus liest wird dies nachvollziehen können.
2.) Desktop Firewall:
Widerspricht eigentlich meinen Ausführungen unter Punkt (1.)), aber wie Kommune23 schon schrieb:
Wer von uns hat wirklich so kritische Daten auf seinem Rechner, dass ein professioneller Angreifer Interesse daran hätte, unseren Rechner für etwas anderes als einen DDOS Angriff (siehe z.B.: Stacheldraht) zu kompromitieren.
Daheim fühle ichmich mit Kerio und AntiVir ausreichend geschützt.
Damit kommen wir zu der nächsten Frage:
Wenn mein Rechner tatsächlich zu einem Angriff missbraucht wird, was dann?
- wenn ich nachweisen kann, dass mein Rechner mit einer Firewall und einem Virenscanner subjektiv betrachtet ausreichend geschützt war, wird mir sicherlich niemand grobe Fahrlässigkeit vorwerfen.
Nachweis, dass der Angriff von aussen kam sollte eigentlich das Logging meiner Firewall liefern (daher: nie abschalten).
Darüberhinaus finden sich im Internet zu bestimmten Angriffen in der Regel innerhalb kurzer Zeit Informationen bezüglich anfälliger Firewallversionen.
Wenn das alles zueinander passt sollte mer aus dem Schneider sein, da in Deutschland "in dubio pro reo" die Unschuldvermutung gilt.
-habe ich keine Firewall und Virenscanner werde ich mir in der heutigen Zeit sicherlich grobe Fahrlässigkeit vorwerfen lassen müssen, was nach deutschem Recht in der Regel eine Mithaftung nach sich zieht.
3.) Wie bediene ich eine Firewall?
Imho eine der brisantesten Fragen.
Viele Nutzer haben die Haltung "ich habe eine Firewall, also bin ich sicher".
Das ist Mummpitz, eine Firewall ist nur so gut, wie der Admin, der sie betreut.
Besonderes Augenmerk verlangt in diesem Zusammenhang das Regelwerk.
"Ich lasse nur Verbindungsaufbauten von innen zu, also bin ich sicher".
Wenn dann noch inaktuelle Virensignaturen beim Virenscanner dazukommen, kann ich mir schneller einen Trojaner oder ähnlichen Mist fangen, als ich piep sagen kann.
Trojaner können nicht nur durch einen Verbindungsaufbau von aussen auf meinen Rechner gelangen.
Neben der Möglichkeit einer verseuchten Mail kann sich ein Trojaner auch auf einer kompromittierten Webseite befinden und sich dann auf meinen Rechner übertragen, wenn ich die entsprechende Seite aufrufe (das Syn-Paket kommt nämlich dann von meinem Rechner).
Was ist eine Hostbasierte Firewall? … Das ist nach allg. Ansicht ein besonders gesicherter Rechner.
Jep, so ist das auch in diesem Fall. Der besondere Schutz basiert zum Einen auf dem Firewall-Modul selbst, welches separate Regeln für das zu schützende System zulässt und zum Anderen durch die erweiterten Features, welche das System nicht nur auf der Netzwerkebene schützen. Dieser Schutz ist nur möglich, weil die Module lokal auf dem System laufen. Aber dazu kommen wir noch.
Zitat:
Zitat von Catweazle
Aber einen Endrechner als FW zu betreiben widerspricht eigentlich der Forderung, dass auf einer Firewall kein Dienst laufen darf …
Weit davon entfernt. Ein solches System wird nicht als Firewall zwischen zwei Netzwerken eingesetzt! Eine Host-Based-Firewall schütz lediglich das System, auf dem sie installiert wurde (genau wie eine Desktop-Firewall). Und das in der Regel zusätzlich zu einer externen Firewall.
Zitat:
Zitat von Catweazle
"Ich lasse nur Verbindungsaufbauten von innen zu, also bin ich sicher".
Autsch. Nicht Dein Ernst, oder? Ich bin mir nicht ganz sicher, ob das ein Scherz war, oder nicht ...
Zitat:
Zitat von Catweazle
Viele Nutzer haben die Haltung "ich habe eine Firewall, also bin ich sicher". Das ist Mummpitz, eine Firewall ist nur so gut, wie der Admin, der sie betreut. … Wenn dann noch inaktuelle Virensignaturen beim Virenscanner dazukommen, kann ich mir schneller einen Trojaner oder ähnlichen Mist fangen, als ich piep sagen kann. … Nicht bangemachen lassen
Das ist alles Korrekt, was Du geschrieben hast. Aber gerade im Zusammenhang mit dem Satz „Nicht bangemachen lassen“ möchte ich noch eines hinzufügen: Das ist alles nicht einmal halb so wild, wie das hier klingt. Eigentlich braucht man nur ein paar wirklich einfache Regeln zu beachten. Nicht das noch jemand denkt, daß man ohne das Spezialwissen eines Netzwerkadministrators keine Desktop-Firewall bedienen kann. Das Ganze ist wirklich viel einfacher, als man denkt. Aber dazu kommen wir noch.
@All
Die Frage ist womöglich, warum ich nicht gleich auf solche Dinge eingehe. Der durchschnittliche Anwender braucht nur diese paar Informationen, um sein System effektiv zu schützen. Zu viele Infos schrecken ab. Dessen bin ich mir bewusst, jedoch ist das hier kein Thread für Anwender. Das ist ein Thread für Leute, die im Forum als Berater fungieren. Und da benötigt man halt doch etwas mehr Wissen, um Fehlberatungen möglichst zu vermeiden.
Hinweis: Host-Based-Firewalls sind das gleiche, wie Desktop-Firewalls, welche jedoch für andere Betriebssysteme wie z.B. UNIX geschrieben wurden. Genau wie Desktop-Firewalls laufen sie direkt auf dem zu schützenden System (Server / Workstation). Und auch die Arbeitsweise und der Funktionsumfang entspricht grob betrachtet dem einer Desktop-Firewall.
Nee, meinte dass "...laufen direkt auf dem zu schützenden System...".
Du willst doch jetzt net wirklich eine zentrale Firewall noch durch hostbasierte Firewalls ergänzen.
Wer macht denn sowas?
Vor allen Dingen:
Wer administriert sowas in komplexen Netzen?
Willst Du das auf die Administratoren der einzelnen Systeme deligieren, was ist in dem Zusammenhang mit einer einheitlichen Policy?.
imho gehören solche Systeme in die DMZ (evtl. mit separater Anbindung und eigener Policy, aber net ins interne Netz, da gehört imho höchstens noch ein IDS hin.
Zitat:
Zitat von Ronald
[/quote="Catweazle"]"Ich lasse nur Verbindungsaufbauten von innen zu, also bin ich sicher".
Autsch. Nicht Dein Ernst, oder? Eigentlich bin ich ein Fan von sarkastischer Polemik, aber hier bin ich mir nicht ganz sicher, ob das ein Scherz war, oder nicht ...
dachte, dass wäre beim Weiterlesen klar geworden...
Du willst doch jetzt net wirklich eine zentrale Firewall noch durch hostbasierte Firewalls ergänzen.
Genau das. Du siehst das aus der Sicht eines Netzwerkadmins in großen Firmennetzen, mit all den praktischen Möglichkeiten, welche Dir eine externe Firewall bietet (in diesem Fall die DMZ, auf die wir noch zu sprechen kommen). Du bist dem Thread dadurch um Meilen voraus. Hier geht es erst einmal um das grundlegende Konzept:
Auf einem Home-PC, welcher mit dem Internet verbunden ist, ergibt die Verwendung einer Desktopfirewall meistens Sinn. Wird dort bereits eine externe Firewall verwendet (was auf jeden Fall zu empfehlen ist), so sind als Ergänzung vor allem die erweiterten Features der Desktopfirewall gefragt. Diese >>können<< dabei helfen, eine Malware zu erkennen, die auf das Internet zugreifen möchte, oder Autostarteinträge überwachen (Host-Based-IDS), etc. Eben all dass, was eine Desktopfirewall neben dem Firewallmodul anzubieten hat.
Hinweis: Natürlich ist es wichtig zu wissen, wie einfach es ist, eine Desktopfirewall zu umgehen (darauf kommen wir später noch zu sprechen). Wichtig deshalb, damit man sich zu keiner leichtfertigen Handlung hinreißen läßt, nur weil eine solche Software auf dem eigenen System installiert wurde. Für das grundlegende Konzept spielen diese Schwächen aber vorerst keine Rolle. Auch darf man dabei nicht aus den Augen verlieren, dass viele ihrer Barrieren auf einer externen Firewall schlicht nicht vorhanden sind. Ohne die Desktopfirewall bedarf es also nicht einmal mehr einer Attacke, um unerwünschte Zugriffe über die externe Firewall hindurch auf das Internet zu ermöglichen.
Als nächstes lässt sich der Einsatz einer Desktopfirewall in kleinen Home-Netzwerken bis hin zu überschaubaren Firmennetzen betrachten. Sollen diese gegen Attacken aus dem eigenen Netz gesichert werden, so kann auch hier der Einsatz einer Desktopfirewall einen Sinn ergeben. Beispiel: Startet jemand ein mit einem Wurm infiziertes Programm im eigenen Netz, welches eine Schwäche in einem Netzwerkdienst für die Verbreitung nutzt, so sind innerhalb von Sekunden alle Rechner verseucht und ggf. arbeitsunfähig, wenn niemand den Zugriff auf diesen Dienst unterbindet (siehe Blaster-Wurm). Eine Desktopfirewall kann dabei helfen, genau diesen Zugriff zu verhindern.
Besser wäre es natürlich, wenn sich auf dem Client alle Netzwerkdienste deaktivieren lassen. Keine Netzwerkdienste bedeutet, daß kein Zugriff auf den Rechner mehr möglich ist. Diese Schlussfolgerung bildet das vorherrschende Argument gegen die Verwendung von Desktopfirewalls. Allerdings hat MS die Dienste weit mehr mit dem System verlinkt, als es auf den ersten Blick scheint. So auch den Serverdienst. Wird er deaktiviert, dann laufen einige Abfragen des lokalen Systems einfach nicht mehr (Beispiel: das Ermitteln von Usergruppen über bestimmte API’s - deaktiviere den Serverdienst, rufe lusrmgr.msc auf, gehe auf einen User und versuche zu ermitteln, in welchen Gruppen er sich befindet, etc.). Das hat zu Folge, daß einige Programme nicht mehr richtig laufen. Demgegenüber gibt es auch Situationen, in denen ein Netzwerkdienst schlicht als solcher benötigt wird und eine Absicherung dieser Geräte per Hardwarefirewall aus Kostengründen nicht in betracht kommt. Hier kann das Firewallmodul der Desktopfirewall dabei helfen, den Zugriff darauf auf einige wenige Clients zu beschränken. Benötigt wird das Firewallmodul auch, wenn der Zugriff auf einen erforderlichen Netzwerkdienst auf das lokale System beschränkt werden soll (localhost, die so genannte Loopback-Schnittstelle 127.0.0.1), ohne dass sich die Software dahingehend konfigurieren lässt.
Hinweis: Was sich in kleinen Netzen leicht realisieren läßt (um solche Netze geht es in diesem Forum ja hauptsächlich), stellt in größeren Netzwerken schlicht ein Verwaltungsproblem dar: Die Konfiguration jeder einzelnen Desktopfirewall, welche vornehmlich durch das Deaktivieren der erweiterten Features ein Stück vereinfacht werden kann.
Wie sieht es mit der Verwendung einer Desktopfirewall auf einem Serversystem aus?: Das Firewallmodul könnte den Zugriff auf das System mithilfe von IP-Filtern beschränken. Sollten die erweiterten Features der Desktopfirewall ein Host-Based-IDS beinhalten, so kann deren Einsatz dabei helfen, unerwünschte Aktivitäten im System aufzuspüren. In einem kleinen (Home-) Netzwerk ohne erfahrenen Netzwerkadministrator kann der Einsatz einer solchen Desktopfirewall deshalb durchaus lohnenswert sein.
Ein Profi wird hingegen einen anderen Weg beschreiten: Bildlich gesehen wird das Firewallmodul hier ausgeschaltet. Stattdessen stellt er eine externe Firewall direkt vor das zu schützende System. Diese läßt sich zum einen nicht so leicht umgehen und zum anderen ist sie von der Ferne aus besser zu warten. Und statt der erweiterten Features einer Desktopfirewall kommt auf dem Server ein professioneller Host-Based-IDS zum Einsatz. Der Grundgedanke bleibt aber derselbe, wenn auch in stark abgewandelter Form.
Fahrerlaubnis/Führerschein und deren/dessern Bedeutung ist ein allgemein bekannter Begriff, selbst bei solchen Leuten, die selbst keine/-n besitzen. Bei einer "Firewall" ist das nicht der Fall...
Gutes Argument. Aber bei einem Fahrrad ist das auch nicht der Fall. Und ein Rad ist noch viel einfacher zu erhalten und zu bedienen. Kaufen, raus aus dem Laden und losfahren. Mehr braucht es nicht, um ohne Licht als Geisterfahrer auf der Stadtautobahn unterwegs zu sein ... Wäre ja egal, wenn die Regeln der Autofahrer für ihn nicht gelten. Schließlich hat er ja keinen Führerschein.
Dies verhindert der Selbsterhaltungstrieb, dafür braucht man keine einzige Verkehrsregel, und auch dies alles ist dem Durchschnittsbürger bekannt, und auch hier wieder ebenfalls den Nicht-Fahrradbesitzern.
komisch, zuerst hast Du von Unix-Systemen geredet, auf denen Host-basierte Firewalls laufen, jetzt argumentierst Du mit Windows- Vulnerabilitäten (Blaster) .
Ok., ich habe weitergelesen...
Auf jeden Fall stimme ich Dir zu, dass eine Personal-Firewall auf jeden Rechner gehört, der mit dem internet verbunden ist.
Ich gebe Dir auch Recht, dass im Falle das interne Nutzer die Möglichkeit haben, ungeprüfte Dateien unter umgehung der zentralen Firewall auf ihre Rechner zu laden, eine solche Konstellation (externe FW und weitere interne Sicherheits-Instanz) aus sicherheitstechnischer Sicht Sinn macht, aber im professionellen Umfeld sind es ja eben
1.) die Lizenskosten für Desktop-Firewalls
(Auch für Privatgebrauch freie Produkte kosten bei gewerblichem Einsatz Lizensgebühren)
2.) Der administrative Aufwand für Einrichtung, Betrieb und Update dieser Firewalls
die eine solche Lösung verhindern.
In der Praxis ist es dann in der Regel eh so, dass genervte angebliche Power-User über Vorgesetzte erwirken, von dieser Regel ausgenommen zu werden, weil das "Telnet auf den Remote Rechner nicht mehr klappt" und zwar mit der Begründung, dass es ja eine zentrale Firewall gibt (Achtung Sarkasmus).
In der Praxis wird es meistens entweder mit DMZen oder mit internen Firewalls, die Netze unterschiedlicher Kritikalität separieren, gehandhabt.
Ich will nicht ausschliessen, dass es in der Tat Fälle gibt, in denen eine zentrale Firewall durch Desktop/Client Firewall ergänzt wird, aber die Regel ist das sicher nicht.
Naja, darin stimmen wir ja jetzt wieder überein.
IDS:
darauf habe ich gewartet .
Du stellst auf Firewalls mit integriertem IDS-Modul ab.
Das ist aus IDS-Sicht sicherlich nur die zweite Wahl, gibt es doch starke IDS Produkte, die den Firewall Modulen (die das ja nur so nebenher machen) überlegen sind.
Bei IDS muss man zunächst einmal zwei Grundarten unterscheiden:
Netzwerk-basiertes IDS (z.B. Snort) und Host-basiertes IDS auch unter der Bezeichnung File Integrity Checker (FIC) bekannt (z.B.: Tripwire) oder Hybride (Kombination aus beiden) wie z.B. Prelude IDS.
Ein Netzwerk IDS analysiert den Traffic und schlägt u.A. Alarm, wenn ein Paket eine bestimmte Signatur erkennt (z.B. ARACHNIDS-Datenbank) oder aber, wenn es eine Signatur findet, die vom Admin als "nicht normal" bestimmt worden ist.
Ein FIC bildet über das Datei-System eines Rechners einen Hash Wert, der extern abgelegt wird und bei jedem Lauf des Programmes den neuen Wert mit dem abgelegten vergleicht.
Hir wird auch eine Schwäche offensichtl.:
Veränderliceh System Dateien können nicht sinnvoll überwacht werden.
Der goße Vorteil eines Netzwerk-basierten IDS ist, dass ein solches einen Angriff bereits auf Netzebene erkennt und gegebenen Falls Gegenmaßnahmen ergreifen kann, während File integrity Checker erst Alarm schlagen, wenn das Kind bereits in den Brunnen gefallen ist.
Der Vorteil letzterer ist jedoch, dass der Admin genau herausfinden kann, was ein Angreifer geändert hat.
Ein weiterer Vorteil ist, dass ein Netzwerk IDS mittels Network-TAP vollkommen transparent in ein Netzwerk eingebunden werden kann, sofern für die Datenbank und den Loghost noch separate Leitungen existieren und somit für den Nutzer keinerlei negative Auswirkungen hat und für den Angreifer unsichtbar ist, was natürlich net funzt, wenn es auf dem Endsystem implementiert ist.
Aber es ist so wie immer, viele Wege führen nach Rom und es gibt nicht eine einzige richtige Lösung sondern mehrere für sich betrachtet sinnvolle Ansätze
... dies alles ist dem Durchschnittsbürger bekannt, und auch hier wieder ebenfalls den Nicht-Fahrradbesitzern.
Und das es Vieren und Hacker gibt, ist dem Durchschnittsbürger nicht bekannt? Ich kenne niemanden, der nicht zumindest weiß, daß er sich um diese Problematik mal kümmern >>müßte<<. Einige "müßten" allerdings schon seit Jahren ... Zudem ist mir seit geraumer Zeit niemand mehr begegnet, der sich einen PC zulegen wollte und von Viren und Hackern noch nichts gehört hat. Da hat die Aufklärung der letzten Jahre gute Arbeit geleistet.
@All
Schade daß es hier niemanden zu geben scheint, der sich mit der Gesetzeslage richtig auskennt, um unsere Vermutungen zu entkräften oder zu bestätigen. Kann denn niemand helfen???? Hat den niemand dazu z.B. einen Artikel in einer Fachzeitschrift gelesen, der uns entgangen ist? Die Suchmaschinen geben leider nichts Vernünftiges her. Echt schade.
komisch, zuerst hast Du von Unix-Systemen geredet, auf denen Host-basierte Firewalls laufen, jetzt argumentierst Du mit Windows
Wo ist in diesem Zusammenhang der Unterschied? Als alter UNIX-Haase sind mir mehr verwendbare Lücken unter UNIX bekannt, als unter Windows. Für die Beschreibung hier ist aber Windows besser geeignet, da ich zum einen mal annehme, daß die meisten Leser mit Windows mehr anfangen können. Zum anderen ist die Blaster-Problematik allgemein bekannt und dient deshalb als gutes Beispiel. Für UNIX gibt es dazu noch keinen äquivalenten Fall – aber die Problematik existiert grundlegend auch hier. Morgen könnte es den Wurm schon für UINIX-Systeme geben. Allerdings würde das weniger Systeme betreffen, da Windows auf den Clients nun einmal ungleich häufiger eingesetzt wird. Einer der Gründe, warum UNIX-Systeme für einen Virenautor weniger interessant sind.
Bei dem Server-Modell habe ich mich wissentlich auf kein Betriebssystem festgelegt. Und Deine ursprüngliche Frage galt doch dem Serversystem, oder?
Zitat:
Zitat von Catweazle
die Lizenskosten für Desktop-Firewalls … Der administrative Aufwand für Einrichtung, Betrieb und Update dieser Firewalls … die eine solche Lösung verhindern.
Das hat nichts mit dem Konzept zu tun. Übrigens, es gibt durchaus Unternehmen und öffentliche Institutionen, welche Desktop-Firewalls als ergänzenden Schutz einsetzen. Der BSI stellt die Dinger ja nicht umsonst kostenfrei zur Verfügung (für öffentliche Institutionen wohlgemerkt). Zudem bietet Windows XP ab SP2 eine kostenlose Variante einer Desktopfirewall an. Nicht jedes Unternehmen läßt sich von dem Aufwand abschrecken. Und es gibt viele Unternehmen, welche sich nach dem Blaster-Desaster um solche Kleinigkeiten wie Lizenzkosten keine Gedanken mehr machen.
Zitat:
Zitat von Catweazle
… dass genervte angebliche Power-User über Vorgesetzte erwirken, von dieser Regel ausgenommen zu werden …
Ein leidiges, alt bekanntes Thema eines jeden Netzwerkadmins. Das werden wir aber in diesem Thread nicht lösen können.
Zitat:
Zitat von Catweazle
In der Praxis wird es meistens entweder mit DMZen oder mit internen Firewalls, die Netze unterschiedlicher Kritikalität separieren, gehandhabt.
In einem Netz mit Windows-Clients greift man in der Regel auf Ressourcen zu, die von SAMBA oder NT-Servern bereitgestellt werden (Datei und Verzeichnisfreigaben). Das geht in der Regel über Subnetzgrenzen hinweg. Wie willst Du damit die Verbreitung des Wurms aufhalten?
Zitat:
Zitat von Catweazle
Host-basiertes IDS auch unter der Bezeichnung File Integrity Checker (FIC) bekannt
Wenn Du meinst, daß ein FIC ein IDS ist, dann: OK. Wenn Du jedoch meinst, das jeder IDS ein FIC ist (au weia, wer weiß was der eine oder andere dort hineininterpretiert ), dann stimmt Deine Aussage nicht. Zum einen gibt es nicht nur IDS die auf UNIX basieren und zum anderen gibt es sehr viele unterschiedliche Konzepte, das System zu überwachen und zu beschützen. FIC ist nur eins davon.
Zitat:
Zitat von Catweazle
Der große Vorteil eines Netzwerk-basierten IDS ist, dass ein solches einen Angriff bereits auf Netzebene erkennt und gegebenen Falls Gegenmaßnahmen ergreifen kann …
Redest Du von einem internen oder einem externen Network-Based-IDS? Auf die Schwachstellen eines internen Network-Based-IDS kommen wir in dem Thread noch zu sprechen, da sie Bestandteil einiger Desktop-Firewalls sind. Bei einem externen Network-Based-IDS gibt es noch viele konzeptionelle Schwachstellen, sodass es für einen erfahrenen Hacker durchaus Möglichkeiten gibt, ihn auf eine falsche Fährte zu locken^^
Zitat:
Zitat von Catweazle
viele Wege führen nach Rom und es gibt nicht eine einzige richtige Lösung sondern mehrere für sich betrachtet sinnvolle Ansätze
Wo stellt das BSI kostenfrei Desktop-Firewalls zur Verfügung?
Wo habe ich geschrieben, dass jedes IDS ein FIC ist?
Ist imho auch net rein zu interpretieren.
Host-basiertes IDS ist FIC.
Wenn Du Snort auf einem Host laufen lässt, wird er dadurch net zu einem FIC, sondern er bleibt ein NIDS...!
ich rede von IDS als Ergänzung zu einer Firewall (sowohl extern - vor der Firewall als auch intern - hinter der Firewall).
Ein IDS, welches der Angreifer nicht sieht, kann er auch net überlisten.
In diesem Zusammenhang solltest Du dich mal mit Network Taps auseinandersetzen .
Da gilt imho allgemeines Recht (BGB)
Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht läßt ( 276 Abs. 1 Satz 2 BGB). Grob fahrlässig handelt, wer die verkehrsübliche Sorgfalt in besonders grobem Maße verletzt.
Das Problem ist, dass es keine eindeutige Rechtsprechung/Gesetzeslage gibt.
D.h. ob Fahrlässigkeit vorliegt, entscheidet der Richter wohl im Einzelfall...
Wie ich das verstehe, empfielt das BSI solche Lösungen aber auch nur nur als zweitbeste Lösung.
Ohne Frage. Bezogen auf das Firewallmodul ist es besser, die Netzwerkdienste zu deaktivieren (wenn es denn geht). Unbestritten ist auch die Verwendung einer externen Firewall vor jedem zu schützenden System zuverlässiger, als das Firewallmodul einer Desktopfirewall. Natürlich lassen sich auch die erweiterten Features einer Desktopfirewall durch alternative Softwareprodukte realisieren. Werden sie installiert, benötigt niemand mehr eine Desktopfirewall. Bessere Alternativen wird es immer geben. Sie sind allerdings nicht für jedermann gangbar. Und da sich die meisten Beratungen aus diesem Forum um Home-Netzwerke drehen (und für diese Berater ist der Thread gedacht), ist die Desktopfirewall durchaus ein Thema.
Zitat:
Zitat von Catweazle
Wo stellt das BSI kostenfrei Desktop-Firewalls zur Verfügung?
Dafür benötigst Du die Einwahldaten für den gesperrten Bereich des BSI. Wie gesagt, das Zeug steht nur öffentlichen Institutionen zur Verfügung. Alternativ dazu gibt’s auch CDs vom BSI für eben diese öffentlichen Institutionen.
Zitat:
Zitat von Catweazle
Wo habe ich geschrieben, dass jedes IDS ein FIC ist?
Mein Fehler. Wenn ich IDS in diesem Zusammenhang geschrieben habe, meinte ich ausschließlich Host-Based-IDS. Bitte lese den „Wenn Du meinst, daß ein FIC ein IDS ist …“-Absatz noch einmal und tausche alle IDS durch Host-Based-IDS aus. Big Sorry.
Zitat:
Zitat von Catweazle
Ein IDS, welches der Angreifer nicht sieht, kann er auch net überlisten.
Ist das Dein Ernst? Willst Du wirklich, daß ich darauf eingehe? Das sprengt langsam den Rahmen dieses Threads^^
Was ist eine Firewall? 
.
). Er wird in fast allen Belangen genauso wie ein Autofahrer zur Rechenschaft gezogen, wenn er gegen die Regeln verstößt und dabei erwischt wird. Nur braucht er keinen Führerschein zum betreiben seines Rades.
ok - nächste Runde.
Linear-Darstellung
