Inhaltsübersicht
================
- Vorüberlegung
- Datentransfer von Innen nach Außen
- Zugriffsmöglichkeiten von Außen
- Weiterführende Informationen
- Schlussüberlegung
Vorüberlegung
=============
Zunächst einmal stellt sich die Frage, wovor dich eine Personal-
Firewall eigentlich schützen soll?
Im wesentlichen werden zwei Zeile angestrebt:
- Unerwünschten Datentransfer von Innen nach Außen unterbinden
- Schutz vor unerwünschten Zugriffen von Außen
Einige PF enthalten noch einen http-Proxy zur Filterung von
Werbebannern oder Cockies.
Datentransfer von Innen nach Außen
==================================
Einige Beispiele aus dem realen Leben:
1)
Das trojanische Pferd der Firma Aurate basierte auf einem Netscape
Navigator / Internet Explorer Plugin und kommuniziert somit nicht
*direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
Probleme, die sonst bein einem Internetzugang über ein Netzwerk
auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
Beispiel von GoZilla und WebCopier verwendet.
Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
Programmen um "Internet-Software" handelt.
Suchstichwörter: advert.dll, Radiate
2)
Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
findet.
Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung
der Firewall mit dem Internet (auch wenn ZA die "normale" Kommuni-
kation erkannt und unterbunden hat):
C:\WINDOWS\TEMP\RN7080.htm
|<HEAD>
|<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real
|.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx
|xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0x
|xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0x
|xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx">
|</HEAD>
Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x
3)
|Do you want Microsoft Internet Explorer to access the internet?
|Do you want Netscape Navigator to access the internet?
|Do you want Microsoft Windows 95 to access the internet?
|Do you want DFÜ-Netzwerk to access the internet?
|Do you want Zone Alarm to access the internet?
Vernünftig programmierte Spyware wird sich ja kaum
als "The ultimative hacking tool" in Windows anmelden.
4)
Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
Protokoll über jedes andere tunneln, solange man Einfluss auf
eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
geht das auch über "viele Ecken".
[1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige
Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich
diese auf Protokollebene korrekt verhalten und lediglich unerwünschte
Inhalte transportieren.
5)
Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
(also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
ware im guten Glauben zu installieren.
Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
http://www.securityfocus.com/archive/1/244026 (Englisch)
6)
Mittlerweile gibt es auch die ersten bösen Programme [tm],
die Desktop-Firewalls einfach beenden
http://groups.google.com/groups?selm=3B3B7A4E.C2EF27C4%40hrz.tu-chemnitz.de
http://www.seue.de/y3k/y3k.htm (fast alle)
oder neue Regeln einfügen:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")
Außerdem kann man die Desktop-Firewall durch ein gleichaussehndes
Programm ersetzten.
Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.
Zugriffsmöglichkeiten von Außen
===============================
Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf
dein System zu erlangen:
Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und
Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern
auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel sind
Personal-Firewalls recht erfolgreich).
Bugs in der verwendeten Software (z.B. Internet Explorer). Dagegen
haben Personal Firewalls nur dann eine Möglichkeit, wenn diese Fehler
den Herstellern bekannt sind. Bevor diese allerdings ihre Produkte
angepasst haben, hat MS (bzw. der Herstellers des fehlerhaften
Programms) idR. ihre Sicherheitspatches schon längst veröffentlicht.
Zu guter letzt könntest du dir noch eine Fernwartungssoftware
installiert haben (wahrscheinlich eher unbewußt z.B. über
Mail-Attachments, aktive Web-Inhalte (ActiveX), oder im guten
Glauben ein nützliches Programm zu installieren). Dagen sind PF
ebenfalls machtlos: Es befindet sich in diesem Fall bereits ein
Programm auf deinem Rechner, das die PF so verändern kann, dass sie
Verbindungsaufbauten von außen ohne Rückfrage annehmen. Oder noch
leichter: Es baut selbst eine Verbindung nach außen auf und holt sich
seine Befehl ab. (Damit fällt es in den ersten Abschnitt).
Weiterführende Informationen
============================
de.comp.security.firewall FAQ:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.samspade.org/d/persfire.html (Englisch)
Die "Zonealarm-FAQ" von "Utz Pflock" aus de.comp.security.firewall
enthält einige Informationen darüber, wie man als Privatanwender
einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit
erreichen kann.
Schlussüberlegung
=================
Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen,
dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat
oder sich in der Vertrauens-Einschätzung eines sehr schlampig
programmierten bösen Programmes vertan hat.
Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf
*nicht* verlassen kann. Daraus ergibt sich eine nicht zu
unterschätzende neue Gefahr: Viele Leute werden mit dem Wissen eine
PF und einen Virenscanner zu haben, außnahmsweise ein einziges Mal ein
nicht vertrauenswürdiges Programm starten, ...
Zu guter letzt handelt es sich bei Personal-Firewalls (von
ipchains/iptables mal abgesehen) meist um closed-source Produkte,
bei denen sich wieder die Vertauesfrage stellt. Die einer PF
zur Verfügung stehenden Daten sind marketingtechnisch sicherlich
nicht uninteressant.