Grundverständniss Firewall

[Raul]

Hallo,

nach meinem Grundverständniss sollte eine Firewall ein System schützen, welches Pakete enthält mit bedenklicher Sicherheit.
Installiere ich z.B. X11 und es gibt dafür keinen Internetzugriff, sollte es entschärft werden.

Ports für den Paketdienst, http, ssh sowie gezielte Anwendungen lasse ich offen.

Einzig über einen Port mit fehlerhafter Anwendung dahinter, kann ein ungewollter Fremdzugriff passieren. Hier sehe ich die einzige Möglichkeit, ein Trojaner, oder RootKit zu erhalten.

Nutze ich keine Sicherheitsbedenklichen Anwendungen, ist eine Firewall überflüssig. Habe ich eine bedenkliche Anwendung über das Internet laufen, welche den offenen Port braucht, ist die Firewall auch wiederum überflüssig.

Sehe ich das so richtig?

[inne]

Nutze ich keine Sicherheitsbedenklichen Anwendungen, ist eine Firewall überflüssig. Habe ich eine bedenkliche Anwendung über das Internet laufen, welche den offenen Port braucht, ist die Firewall auch wiederum überflüssig.

Es gibt sicher noch weitere Möglichkeiten sich ein Rootkit einzufangen: SSH-Brute-Force-Attacke.

Und da unter Debian Dienste "scharf" installiert werden, kann eine einfache Firewall wohl nicht schaden.
Diese Firewall kann auch Verbindungen von ungewollten End-Punkten unterbinden.

[uname]

Eine Firewall ist nur sinnvoll wenn man weiß wofür sie da ist, wo sie sowieso nicht hilft und wie man sie richtig konfiguriert. Sollte das System auf Server-Ports horchen muss die Firewall die Kommunikation sowieso erlauben. Und wenn Ports nicht verwendet werden braucht man sie auch nicht sperren. Ein paar generelle Sperren von ungewünschten Netzwerkverbindungen (ICMP, falsche Rückkehrpakete usw. sind vielleicht ganz nett).

Code: Alles auswählen

netstat -tulpen

könnte man sich anschauen. Unter Umständen kann man Dienste deaktivieren, auf "localhost" einschränken (z.B. Datenbanken) oder zumindestens den Dienst optimieren (z.B. Anpassungen an Apache2 oder SSH). Hinter einem DSL-Router kann man sich den Aufwand aber gleich sparen, da die Serverdienste nur von innen erreichbar sind.

Bei Windows downloadet man im übrigen in der Regel über erlaubte Verbindungen (z.B. Browser) den Schadcode und der Schadcode/Trojaner kommuniziert über erlaubte Verbindungen (z.B. TLS/SSL) zu einem C&C-Server. Der C&C-Server wiederum nutzt diese existierende Kommunikation rückwärts durch sämtliche Firewall- und NAT-Strukturen. Mag sein, dass einige Personal Firewalls das mittlerweile erkennen. Aber z.B. der Firefox wird immer das Internet nutzen wollen und wenn der Trojaner den Firefox für seinen Zugriff nutzt, dann nutzt auch diese Firewall wohl nichts, oder? Das Surfen im Internet ist wohl das größte Sicherheitsrisiko überhaupt. Sollte man am besten verbieten.

[Raul]

Das Surfen im Internet ist wohl das größte Sicherheitsrisiko überhaupt. Sollte man am besten verbieten.

Danke für die Antworten. Das Grundverständniss war/ist für mich da, zumindest für Windows. Die Linuxwelt ist genauer, zumindest mutet sie dem Anwender mehr Fachkompetenz zu

Ich selber habe zwei PCs, einen zum Trashsurfen und einen zum arbeiten. Das hilft ungemein, oder halt zwei Installationen isoliert voneinander.