Sinn und Unsinn von Desktop-/Personal-Firewalls

[LoL-O_Mat]

Eine Firewall hat nicht den Zweck das System sauber zu halten - eine Firewall hat den Zweck der Netzwerkanalyse und -verwaltung. Wenn dein System infiziert ist hilft GARNICHTS (auch ein übertoller mega-hyper-Router nicht). Wir wiederholen das nun schon zum .... fünften (?) Mal, willkommen im Club.

Wenn du nun schon selbst zugibst, dass eine DFW nichts nützt, warum beharrst du weiterhin darauf, dass man sie benötigt?
Übrigens hat auch niemand behauptet, ein Router könnte ausgehende Verbindungen gezielt blocken. Schlicht, weil dies nicht möglich ist.

Ähm ... eine Anwendung die ich lokal mit ner DFW blocke kriegst du ohne einen Exploit oder nen Virus nicht ans Netz

Aha. Denn besagter Virus hat ja Superkräfte, die ihm das umgehen einer Firewall ermöglichen, andere Programme haben diese aber nicht. Klar.
Muss ich Photoshop, BPM Studio oder Teamviewer (müsste er gewesen sein, könnte aber auch andere ähnliche Software gewesen sein) als Malware bezeichnen? Und warum konkret ist es gutartiger Software nicht möglich, die selben Wege zum umgehen zu nutzen, wie Malware? Nicht mal ein Exploit bräuchte ich dafür, ein vorhandener Browser ist schon mehr als nur genug.

Und das hab ich auch schon mehrfach beantwortet .. zum nun wirklich Letzten mal : GARNICHT. DAS IST NICHT DIE AUFGABE EINER FIREWALL. Zu Fragen wie das eine Firewall machen soll ist so Ähnlich wie die Frage

Aha. Deine Desktopfirewall soll (deiner Aussage nach) also nicht verhindern, dass Programme auf das Internet zugreifen. Auch siehst du selbst ein, dass dies nicht möglich ist, siehe oben.
Dann würde ich aber gerne wissen, warum du sie installierst, wenn sie Verbindungen ins Netz weder verhindern kann noch soll.

url=http://de.wikipedia.org/wiki/Antivirenprogramm]*klick[/url]
*klick
*klick

--> Letzteres funktioniert mittlerweile recht gut ... tatsächlich werden regelmäßig neue Viren vollautomatisch und per Heuristik von diversen Antivirenprogrammen erkannt, analysiert, gemeldet und auf die Blacklist gesetzt ... und das ist nur EINE Methodik die o.g. Infizierungen in einer nicht Unerheblichen Anzahl auflösen kann - ausserdem kommt noch die Herstellerspezifische Datenbank hinzu.

Danke. Aber was das alles mit DFWs zu tun hat, solltest du uns bitte auch noch sagen.

[TRON2]

Wenn du nun schon selbst zugibst, dass eine DFW nichts nützt, warum beharrst du weiterhin darauf, dass man sie benötigt?
Übrigens hat auch niemand behauptet, ein Router könnte ausgehende Verbindungen gezielt blocken. Schlicht, weil dies nicht möglich ist.

Jesus Facepalm. Sie nützt sehr wohl etwas. Man kann z.B. Software daran hindern Udates zu beziehen, oder den Mediaplayer verbieten meine Playliste nach Hause zu senden, oder man bekommt mit das sogar Programme wie Notepat++ eine unnütze Verbindung aufbauen wollen. Genau da liegt der Sinn in einer Desktop Firewall, die Kontrolle über den Netzverkehr.

Das es Möglichkeiten gibt sie zu umgehen, steht auf einem ganz anderen Blatt und hat mit der Grundsätzlich Funktionsweise nichts zu tun. Jetzt aber zu deinem Obergau, mal wieder. Selbst ich, kann auf meinen Schrotti Alice Router IP's und ganze Portbereiche sperren, wenn ich das will. Ich kann sogar Port 53 schließen, wenn mir danach ist. Man sieht du hast einfach unzureichende Kenntnisse und Trollst nur herum.

[LoL-O_Mat]

Jesus Facepalm. Sie nützt sehr wohl etwas. Man kann z.B. Software daran hindern Udates zu beziehen, oder den Mediaplayer verbieten meine Playliste nach Hause zu senden, oder man bekommt mit das sogar Programme wie Notepat++ eine unnütze Verbindung aufbauen wollen. Genau da liegt der Sinn in einer Desktop Firewall, die Kontrolle über den Netzverkehr.

Gaanz großes Kino. Blöderweise funktioiert das aber nur bei Software, die sich nicht wehrt. Übrigens würde ich es an deiner Stelle mal mit den Einstellungen der jeweiligen Software probieren.
Und mit einer Desktopfirewall hast du nun mal keine Kontrolle über den Netzwerkverkehr. Oder doch, eigentlich schon. In etwa genau so viel, wie das Surfverhalten der Bevölkerung durch Ursis sperren beinflusst werden. Die, die keine Ahnung habe, werden aufgehalten und protokolliert, die anderen umgehen es einfach.

Das es Möglichkeiten gibt sie zu umgehen, steht auf einem ganz anderen Blatt und hat mit der Grundsätzlich Funktionsweise nichts zu tun. Jetzt aber zu deinem Obergau, mal wieder. Selbst ich, kann auf meinen Schrotti Alice Router IP's und ganze Portbereiche sperren, wenn ich das will. Ich kann sogar Port 53 schließen, wenn mir danach ist.

Aha. Was hat das konkret mit dem gezielten blockieren von Verbindungen zu tun?
Du kannst lediglich alles, was an einen bestimmten Host geht oder einen bestimmten Port nutzt, blockieren. Mit gezielt ist da nix. Gezielt wäre, wenn ich die Verbindung eines ganz bestimmten Programmes verhindern könnte.

Man sieht du hast einfach unzureichende Kenntnisse und Trollst nur herum.

Kennst du den Spruch mit dem Glashaus und den Steinen?

[TRON2]

Ja ja, wer im Glashaus eine Grube gräbt, sollte der Krähe nicht die Steine aus den Auge picken, schon klar. Was soll das daran ändern das du rum trollst. Und schon wieder. Ich habe nicht behauptet das man mit einer DFW wehrhafte Programme aufhalten kann. Das wird aus "Das es Möglichkeiten gibt sie zu umgehen, steht auf einem ganz anderen Blatt" wohl deutlich. Leider für dich nicht deutlich genug. Ich möchte mal deine Kontrolle über den Netzverkehr sehen, Voodootanz um deinen Router.

Aha. Was hat das konkret mit dem gezielten blockieren von Verbindungen zu tun?
Du kannst lediglich alles, was an einen bestimmten Host geht oder einen bestimmten Port nutzt, blockieren. Mit gezielt ist da nix.

Was ist denn daran nicht gezielt, gezielter geht's doch kaum noch. Oder sprichst du Upnp an? Diese Funktion unterstützt nicht jeder Router, das habe ich auch nicht gemeint und ist bei mir auch nicht vorhanden.

Gezielt wäre, wenn ich die Verbindung eines ganz bestimmten Programmes verhindern könnte.

Wo wir dann wieder bei Desktop Firewalls wären, guten Morgen.

[LoL-O_Mat]

Was ist denn daran nicht gezielt, gezielter geht's doch kaum noch. Oder sprichst du Upnp an? Diese Funktion unterstützt nicht jeder Router, das habe ich auch nicht gemeint und ist bei mir auch nicht vorhanden.

Was daran nicht gezielt ist? Mh, lass mich mal überlegen. Vielleicht, weil dann gar kein Programm mehr den jeweiligen Host kontaktieren kann, oder den betreffenden Port nutzen?

Wo wir dann wieder bei Desktop Firewalls wären, guten Morgen.

Wie? Gerade hast du ja noch behauptet, dein Router könnte das?
Und dass deine Desktopfirewall Verbindungen nicht gezielt blockieren kann, haben wir ja mitlerweile schon erfolgreich festgestellt. Denn wenn um das zu können, müsste sie nicht nur feststellen, welches Programm die Verbindung dann letztenende ausfbaut, sondern auch, wer oder was dies veranlasst hat. Und das ist nun mal nicht möglich.

Anonsten eben das übliche Wortgeplänkel von dir.

Allerdings bewundere ich die Hartnäckigkeit, mit der du daran festhälst, dass eine Desktopfirewall den Netzwerkverkehr kontrollieren könnte, obwohl du ja gleichzeitig zugibst, dass sie sich problemlos umgehen lassen.
Übrigens ist es auch schön mit anzusehen, wie etwas, was aus Prinzipgründen nicht klappen kann, plötzlich als "eventuell umgehbar" angepriesen wird. "Eventuell funktionierend" würde es ja eher treffen. Ansonsten verkaufe ich eben ab jetzt "Zutritt verboten" Schilder als funktionierende Zugangsbeschränkung. Aber Achtung, unter Umständen könnte es vorkommen, dass sie umgehbar sind

[TRON2]

Was daran nicht gezielt ist? Mh, lass mich mal überlegen. Vielleicht, weil dann gar kein Programm mehr den jeweiligen Host kontaktieren kann, oder den betreffenden Port nutzen?

So hier noch mal die Version für Gehemmte. Genau das ist das Ziel dieser Übung. Nehmen wir mal ein Beispiel. Firma ENCOM möchte seinen Mitarbeitern das Serven im Netz beschränken, aber die Firmenseite zugänglich halten.

Die Regel im Router ist dann IP Bereich der Mitarbeiter + Port 80 + ENCOM IPAdresse, ausgehend erlauben.

2. Regel ist Alles andere ist Verboten.

Vereinfacht ist das die Mitarbeiter mit Regel 1 zu dieser Seite Zugang haben, zu allen anderen Seiten nicht. Kein Google, kein Trojaner.com, kein Gulli.

Die 2. Regel unterbindet alles andere, kein IRC, kein Torrent, kein Chat, kein Trojaner usw.. Es sei denn man konfiguriert und Sockelt alles so, das sie bei ENCOM geerdet werden.


So und die Desktop F. auf Spielzeugwindows kann ganz normalen Programmen wie IE, Adobe, VLC/Mediaplayer, Games und vieles mehr Zugriff oder Rückruf verweigern. Was sie nicht kann ist einen gezielten Angriff von einem befallenen Zomierechner Vollkommen auf ewig und immer widerstehen. Das ist aber was anderes, erfordert auch höheren Aufwand je nach Art der Sicherheitsstrategie im allgemeinen. Aber das verstehst du nicht, nie!

[HouseKatZe]

Denn wenn um das zu können, müsste sie nicht nur feststellen, welches Programm die Verbindung dann letztenende ausfbaut, sondern auch, wer oder was dies veranlasst hat.

Können die meisten auch, wenn man zum Beispiel eine DLL Injected und über diese eine Verbindung herstellt meckern einige Desktop Firewalls und fragen nach ob das so okay ist.

[LoL-O_Mat]

So hier noch mal die Version für Gehemmte. Genau das ist das Ziel dieser Übung. Nehmen wir mal ein Beispiel. Firma ENCOM möchte seinen Mitarbeitern das Serven im Netz beschränken, aber die Firmenseite zugänglich halten.

Die Regel im Router ist dann IP Bereich der Mitarbeiter + Port 80 + ENCOM IPAdresse, ausgehend erlauben.

2. Regel ist Alles andere ist Verboten.

Vereinfacht ist das die Mitarbeiter mit Regel 1 zu dieser Seite Zugang haben, zu allen anderen Seiten nicht. Kein Google, kein Trojaner.com, kein Gulli.

Die 2. Regel unterbindet alles andere, kein IRC, kein Torrent, kein Chat, kein Trojaner usw.. Es sei denn man konfiguriert und Sockelt alles so, das sie bei ENCOM geerdet werden.


So und die Desktop F. auf Spielzeugwindows kann ganz normalen Programmen wie IE, Adobe, VLC/Mediaplayer, Games und vieles mehr Zugriff oder Rückruf verweigern. Was sie nicht kann ist einen gezielten Angriff von einem befallenen Zomierechner Vollkommen auf ewig und immer widerstehen. Das ist aber was anderes, erfordert auch höheren Aufwand je nach Art der Sicherheitsstrategie im allgemeinen. Aber das verstehst du nicht, nie!

Langsam zweifle ich ja an deinem Verstand. Denn immer hast du mir noch nicht erklärt, wo da die Verbindungen eines gewissen Programmes gezielt geblockt hast. Du hat nämlich alles verboten, was nicht gewisse Bedingungen erfüllt. Ob die Verbindungen jetzt vom Internet Explorer, von Malware oder sonst was ausgehen, tangiert deinen Router eher periphär. Du hast also nach wie vor deine Behauptung nicht belegen können, dass du ganz bestimmte Verbindungen gezielt blockieren kannst. Herzlichen Glückwunsch.

Können die meisten auch, wenn man zum Beispiel eine DLL Injected und über diese eine Verbindung herstellt meckern einige Desktop Firewalls und fragen nach ob das so okay ist.

Na, da kennt sich aber wer aus. Dann erzähl den Herstellern dieser Pseudofirewalls mal nicht, dass diese Erkennung mehr schlecht als Recht funktioniert und dass Codeinjections nicht der einzige Weg zum Ziel sind.

Aber wenn du ihm schon zustimmst, dann erklär mir doch bitte du, wie mein Router für ein gewisses Programm, e.g. Photoshop, alle Verbindungen zu einem Host, e.g. Adobe, blockieren soll. Und da mir ja versprochen wurde, dass dies gezielt funktioniert, sollen alle anderen Anwendungen, z.B. mein Browser, davon verschont bleiben (immerhin will ich die Herstellerseite noch besuchen können). Es sei noch erwähnt, dass Photoshop im Beispiel die HTTP-Ports benutzt. Aber das dürfte ja kein Problem sein, denn ein billiger Alicerouter kann ganz gezielt Verbindungen bestimmter Anwendungen verhindern, ohne gleich (wie bereits in meinem ersten diebezüglichen Post - selbstverständlich nur fälschlicherweise - geschrieben ) alle HTTP-Verbindungen von meinem Rechner zu Adobe zu verhindern.

[TRON2]

Langsam zweifle ich ja an deinem Verstand. Denn immer hast du mir noch nicht erklärt, wo da die Verbindungen eines gewissen Programmes gezielt geblockt hast. Du hat nämlich alles verboten, was nicht gewisse Bedingungen erfüllt. Ob die Verbindungen jetzt vom Internet Explorer, von Malware oder sonst was ausgehen, tangiert deinen Router eher periphär. Du hast also nach wie vor deine Behauptung nicht belegen können, dass du ganz bestimmte Verbindungen gezielt blockieren kannst. Herzlichen Glückwunsch.

Das ist nicht weiter von Bedeutung. Gib dich damit zu Frieden, das Gulli nicht das Forum dafür sein wird. Du wirst nicht widerlegen können, das Du irrst. Mr. LoL-O_Mat

[LoL-O_Mat]

Danke. Mit deiner umwerfenden Argumentation hast du mich davon überzeugt, dass mein Router problemlos ausgewählte Verbindungen blocken kann. Natürlich habe ich mich geirrt, wie konnte ich nur so dumm sein und glauben, der Router würde nicht unterscheiden können, durch welches Programm die Verbindung intiiert wird, und er könne somit nur Regeln festlegen, die bestimmte Ports und IPs betreffen. Natürlich hattest du recht, ich hab gerade nachgesehen, auch mein Router kann problemlos ausgewählte Verbindungen blockieren, und nicht nur allgemeine, Ports und IPs der beiden Endpunkte betreffende Regeln aufstellen.

Wenn du willst darfst du dir diesen Text ausdrucken und an die Wand hängen. Dann wirst du jeden Morgen daran erinnert werden, wie Recht du hattest, und wie sehr es einem simplen Router möglich ist, Regeln zu erstellen, die über eine simple Festlegung des Protokolls, des Ports und der IPs beider Seiten hinausgeht. Welcher rückständige Mensch nutzt denn noch einen, der nicht mal unterscheiden kann, von welchem Programm die Verbindung ausgeht, oder ähnliches. Besonders hilfreich finde ich ja die Funktion, dass mich bei jedem Versuch eines Verbindungsaufbaus ein Popup fragt, ob diese Verbindung zulassen will.

Allerdings ist hoffentlich weder dein Router, noch deine tolle Firewall so konfiguriert, dass http://www.das-dass.de/ auf der Blacklist steht. Und diesmal ganz ohne Ironie.
Auch ganz ohne Ironie ist, dass ich gerne noch meine Fragen der letzten Posts beantwortet hätte.

[TRON2]

Sry. du langweilst mich. Glaub woran du willst. Mit Trolls gibt es keine Übereinkunft und das steht fest.

[LoL-O_Mat]

Gut. Dann eben nicht. Ich persönlich hätte ja zu gern erfahren, wie ich meinen Router quasi zu einer Layer-7 Firewall machen kann. Meiner konnte bis jetzt nur mit der Holzhammermethode nach Ports, IPs und Protokoll filtern.

[TRON2]

Nimm erst deinen widerlichen Signs zuück!

[Toady]

Jesus Facepalm. Sie nützt sehr wohl etwas. Man kann z.B. Software daran hindern Udates zu beziehen, oder den Mediaplayer verbieten meine Playliste nach Hause zu senden, oder man bekommt mit das sogar Programme wie Notepat++ eine unnütze Verbindung aufbauen wollen. Genau da liegt der Sinn in einer Desktop Firewall, die Kontrolle über den Netzverkehr.

Du hast recht und unrecht gleichermaßen - denn die DFW kann nur solche Software kontrollieren, die sich kontrollieren lassen möchte. Es sind eben keine super-Kräfte nötig, um diese Schutzmaßnahme zu umgehen.

Vereinfacht heruntergebrochen bedeutet es, dass du nicht *determinsistisch* ausschließen kannst, dass "unerwollter" Netzverkehr geblockt wird, aber genau das willst du ja, und genau das vermag eine DFW eben nicht zu erreichen.

Du kannst nun allenfalls argumentieren "Ja, ist ja manchmal möglich die DFW zu umgehen - aber meistens klappts doch, dass sie mich schützt!!1".
Würdest du in ein Flugzeug steigen, das meistens funktioniert? Bremsen im Auto vertrauen, die meistens tun?
Oder, um etwas weniger "lebensgefährliches" zu nennen - Lampen kaufen, die meistens funktionieren?
Was würdest du einem Händler sagen, der dir eine Lampe verkaufen möchte, die in ca. 90% der Fälle Licht spendet, aber manchmal, total außerhalb deiner Kontrolle, einfach nicht funktioniert?


Bevor nun irgendwer argumentieren will "Ja, aber auch Airbags haben schon versagt!!1!" - ja, haben sie. Dann aber aufgrund eines echten Fehlers.
DFW versagen eben nicht aufgrund eines unvorhersehbaren Fehlers, sondern aufgrund ihres Designs - eine DFW kann per Design nicht fehlerfrei das machen, was viele meinen (und die Hersteller selbst sagen es nichteinmal - dieser Mythos hat sich so verbreitet).


Die ganz zu Anfang verlinkte FAQ erklärt das recht gut.


Wer so ein Ding nutzten will - bitte, jeder so wie er will.
Die angesprochenen Nutzungsprofile stimmen wahrscheinlich - kanns weder abstreiten noch bestätigen (also zum Windows Mediaplayer usw.).
Nur mal ernsthaft gefragt - warum zum Teufel benutzt ihr ihn überhaupt, wenn es euch so stört? Startet ihn nicht - und das Problem hat sich von ganz alleine gelöst, ganz ohne DFW.

Die genannten Beispiele sind doch unsinnig; das ist so, als wenn ich hier sage, man braucht unbedingt nen Helm, um durch ne Tür zu gehen, und dass dann damit begründen, dass man sich viel weniger weh tut, wenn man mal keinen Bock hat sie vorher aufzuschließen - da würde jeder halbwegs klar denkende Mensch doch auch sagen "Ja mei, bisst du narrisch - dann machs sie halt vorher auf. Ist doch total blödsinnig, mit dem Kopf vorran durch ne geschlossene Tür rennen zu wollen..." - und als Antwort kommt dann "Boah, du hast ja sowas von keine Ahnung - was meinst dud enn, weshalb die verkauft werden? Wird doch sogar damit geworben, dass es dann viel weniger weh tut - und überhaupt, dass ist doch meine ganz eigenen Entscheidung, und ich finde, der Helm hilft mir sehr wohl, und jeder sollte einen tragen, wenn er nur ein bisschen Verstand hat."

Mal ehrlich - würde hier irgendjemand dem "Helmtrager" beipflichten? Würde hier nicht ganz im Gegenteil jeder sagen "Mein Gott bist du beschränkt - mit nem Sturzhelm vorran gegen ne geschlossene Tür rennen, nur weil man keine Lust hat sie aufzuschließen, trotzdem nicht durchkommt, aber sich immerhin weniger weh tut.".

Natürlich würde das jeder hier sagen - auch wenn Helmhersteller damit werben würden - so wies Desktopfirewallhersteller sagen.
Und Hey - beide haben ja recht. Es tut unbetreitbar weniger weh, wenn ich mit Helm vor ne Tür laufe, er schützt also son bisschen, ebenso, wie ne Desktopfirewall schützt.
Nur - wäre es sinnvoll? Wer hier würde auch sagen "Ja, Helme sollte man unbedingt tragen, ich habs selbst schon ausprobiert, tut wirklichw eniger weh!"?


Naja, just my 0.02$

[caxo]

An dieser Stelle verweise ich mal auf folgenden Vortrag über PFW vom CCC, bei dem sie auch einige Angriffe vorführen. Ist wirklich sehr zu empfehlen. Ich verwende auf meinem Windows System jedenfalls keine PFW mehr.

mfg
caxo

[Toady]

Zu Anfang des Ursprungsthread wurde der auch schon erwähnt - aber den kann man eigentlich nicht oft genug verlinken

[tha_specializt]

denn die DFW kann nur solche Software kontrollieren, die sich kontrollieren lassen möchte

Ohgott ... ich fang jetzt lieber nicht an zu Erklären auf wievielen Arten das Schwachsinn ist - es sei nur gesagt dass eine Firewall mit entspr. Kerneltreiber auf einem Sauberen System jeden beliebigen Prozess, jeden Thread und sogar jeden Teil des Systems problemlos und immer (!) von der Netzwerkfunktion des Betriebssystems Ausschliessen kann. Übrigens funktioniert der komplette CCC-Beitrag auch nur mittels Malware - was ein Ungültiges Argument ist.

Dieser hier noch, dann bin ich aber wirklich weg :

die Möglichkeit das DNS zu nutzen ist auf keinem mir bekannten System eingeschränkt.

Äh ... wie es scheint fehlt dir viel Wissen über Betriebssysteme, das OSI-Modell, Ethernet ...
Es ist VÖLLIG EGAL welche Kommunikation stattfinden soll - JEDER ZUGRIFF AUF DIE NETZWERKKARTE kann unterbunden werden. Da helfen auch keine CCC-Zauberbits was, ohne Malware KANN man eine korrekt Funktionierende Firewall nicht Umgehen.

[aNtiCHrist]

ich fang jetzt lieber nicht an zu Erklären auf wievielen Arten das Schwachsinn ist

Schade, mich hätte es duchaus interessiert, welche Argumente du denn diesbezüglich hättest.

es sei nur gesagt dass eine Firewall mit entspr. Kerneltreiber auf einem Sauberen System jeden beliebigen Prozess, jeden Thread und sogar jeden Teil des Systems problemlos und immer (!) von der Netzwerkfunktion des Betriebssystems Ausschliessen kann.

Mal von der Möglichkeit abgesehen, andere - nicht blockierte - Prozesse für eigene Zwecke zu nutzen oder selbst Kerneltreiber zu nutzen, baut deine Argumentation auf ein "sauberes" System auf. Wozu sollte man auf einem System mit ausschließlich vertrauenswürdiger Software denn überhaupt eine Personal Firewall nutzen? Sobald man Software nutzt, der man nicht traut, ist das System jedenfalls nach meiner Ansicht bereits nicht mehr sauber.

Äh ... wie es scheint fehlt dir viel Wissen über Betriebssysteme, das OSI-Modell, Ethernet ...
Es ist VÖLLIG EGAL welche Kommunikation stattfinden soll - JEDER ZUGRIFF AUF DIE NETZWERKKARTE kann unterbunden werden.

Natürlich kann man auch (versuchen) DNS-Lookups blockieren. Das macht bloß praktisch niemand, da man sonst im Netz doch recht eingeschränkt ist. Da die Prozesse die Anfragen nicht selbst stellen, sondern vom System stellen lassen, bringt es auch nichts, einem Prozess sämtliche IP-Kommunikation zu verbieten. Wie Kugelfisch23 erwähnte, gibt es zwar durchaus Lösungen, die auch die DNS-Abfragen gesondert behandeln, aber es tun eben längst nicht alle Personal Firewalls. Und bis die nächste derartige Lücke gefunden wird, wird es auch nicht lange dauern. Die ganzen zusätzlichen Tricksereien, um diese Lücken zu schließen machen nebenbei das ganze System auch unnötig fehleranfällig. Insofern ist es auch fraglich, ob das überhaupt das Ziel sein sollte.

ohne Malware KANN man eine korrekt Funktionierende Firewall nicht Umgehen.

Interessante Aussage. Definiere bitte "Malware" und "korrekt funktionierende". Gibt es real existierende Personal Firewalls, die korrekt funktionieren? Ist z. B. nach Hause telefonierende Software (wie es sie durchaus auch von großen Anbietern gibt) auch Malware? Wenn du die erste Frage mit nein oder die zweite mit ja beantworten kannst, würde ich dir sogar zustimmen.

[tha_specializt]

Da die Prozesse die Anfragen nicht selbst stellen, sondern vom System stellen lassen, bringt es auch nichts, einem Prozess sämtliche IP-Kommunikation zu verbieten.

Jede Anfrage, die über Ethernet rausgehen soll wird an den Prozess bzw. dessen Thread gebunden - die Handles sind nur in diesem gültig und die Pakete gehen (ohne Malware) auch Ausschliesslich dorthin. Ob nun diverse API-Funktionen gleich mehrere Anfragen Auslösen und zB. keinen weiteren Socket benötigen oder nicht spielt dabei keine Rolle - mindestens auf Kernelebene hat man den entspr. Verweis ... nur weil man Diesen eventuell auf API-Ebene nicht sehen kann bedeutet dass nicht dass er nicht da ist.

Interessante Aussage. Definiere bitte "Malware" und "korrekt funktionierende".

1) schadhafte Software jeglicher Art und/oder Software, die vom Nutzer Unerwünschte Aktionen einleitet, durchführt oder ermöglicht. Dazu würde dann zB. auch ein Rootkit eines DRM-Systems zählen.

2) Vollständig Funktionierend, dh : es werden alle Zugriffe auf die Netzwerkkarte erfasst und Behandelt - das war und ist nicht immer der Fall daher sollte man sich die DFW gut aussuchen. Wenn zB. eine DNS-Auflösung ohne eine entspr. Kontrolle stattfinden kann dann ist die DFW-Lösung ganz offensichtlich Unvollständig, so einfach ist das.

Gibt es real existierende Personal Firewalls, die korrekt funktionieren?

Sehr viele.

Ist z. B. nach Hause telefonierende Software (wie es sie durchaus auch von großen Anbietern gibt) auch Malware?

Wenn Ungewollt : ja. Es ist durchaus möglich, den Nutzer auf eine eventuell zwangsläufige Kommunikation hinzuweisen - auch auf der Verpackung der Software, was im Übrigen in Deutschland Gesetz ist.

[aNtiCHrist]

Kompletter Unsinn - von Vorne bis Hinten.

Mal sehen ...

Jede Anfrage, die über Ethernet rausgehen soll wird an den Prozess bzw. dessen Thread gebunden - die Handles sind nur in diesem gültig und die Pakete gehen (ohne Malware) auch Ausschliesslich dorthin.

Das habe ich nicht bestritten. Bloß laufen IIRC zumindest unter Windows XP die DNS-Lookups über einen SVCHOST-Prozess. Von dem Prozess, der die Anfrage stellt, geht dabei kein Paket über das Netzwerkinterface.

Wie Kugelfisch23 erwähnte, gibt es zwar durchaus Lösungen, die auch die DNS-Abfragen gesondert behandeln

"durchaus", soso ... eher "fast Alle" bzw. "Alle Brauchbaren"

Da ich nicht ständig Personal Firewalls teste, habe ich eben auf http://www.matousec.com/projects/pro...evel.php?num=2 und http://www.matousec.com/projects/pro...evel.php?num=3 nachgeschaut. Tatsächlich bieten mittlerweile durchaus einige Personal Firewalls diese Filterung an. Durch das Stufenmodell bei den dortigen Tests kann man daraus leider für einen signifikanten Teil Produkte keine Aussage treffen. Immerhin sind knapp die Hälfte der Kandidaten bereits in Level 1 ausgeschieden, sodass die DNS-Tests nicht mal durchgeführt wurden. Von den nicht vorher ausgeschiedenen Produkten ist aber immerhin auch fast jedes dritte an den DNS-Tests gescheitert. Dass fast alle Produkte die Funktion bieten sollen, erscheint daher schon mal sehr fragwürdig. Ob alle brauchbaren Produkte sie bieten, kann ich nicht beurteilen, da ich keine brauchbaren Personal Firewalls kenne. Die Produkte, die relativ "dicht" sind, sind eben leider durch die vielen Tricksereien zum Abdichten der Lücken auch besonders problemanfällig.

Du behauptest, dass es sehr viele korrekt funktionierende Personal Firewalls gäbe. In den Ergebnissen unter http://www.matousec.com/projects/pro...ge/results.php haben bis auf ein einziges Produkt allerdings alle Kandidaten in mindestens einem Test versagt. Und nur weil in diesem einen Produkt keine Lücke gefunden wurde, kann man kaum davon ausgehen, dass es dort keine gäbe.

Auch fasst du (durchaus berechtigt) den Begriff Malware sehr weit und schließt auch Software mit ein, die unerwünschte Kommunikation verursacht. Ich stelle daher erneut die Frage, wovor denn dann eine Personal Firewall überhaupt noch schützen soll. Wie du korrekt erwähnst, kann eine Personal Firewall bei aktiver Malware schließlich nicht mehr zuverlässig funktionieren.

Ergänzende Anmerkung: Die obigen Zitate stammen aus der ersten Fassung von tha_specializts letztem Beitrag, den er/sie nachträglich verändert hat.