Beitrag
von TomL » 19.06.2018 19:02:17
Ich bin mittlerweile soweit, dass ich derzeit keine technisch eindeutige und fundierte Stellung mehr einnehmen kann, weder dagegen, noch dafür. Ich kenne mittlerweile zuviele Argumente für beide Seiten.... und an dem Punkt angekommen muss man einfach eine eigene Entscheidung treffen. Ein großes Problem dabei ist die Terminologie... man sagt "Firewall" und die Leute verstehen "Endanwender-Programm Personal Firewall". Wenn ich jedoch Firewall sage, meine ich damit in Wahrheit "Firewall-Konzept". Damit meine ich beispielsweise auch NOEXEC,NOSUID,NODEV für /home, /tmp und /dev/shm. Damit meine ich Reduktion auf tatsächlich benötigte Dienste und keine offenen Dienste zum Internet. auf Wenn ich Firewall sage, meine ich konsequente Trennung von Verantwortlichkeiten, sowas wie Brandschutztüren zwischen den Abteilungen User + User oder User + root.... und einiges mehr.
Ja, es ist richtig, ein Paketfilter hat Einfluss auf die Performance
Ja, es ist richtig, dass ein bereits vorhandener Trojaner vielleicht HTTPS verwendet.
Aber beide Aussagen setzen bestimmte Annahmen voraus. Und damit habe ich dann ein Problem, wenn ich diese Annahmen als für mich nicht zutreffend einschätze.
Zu 1 (Performance), es wird unterstellt (im Posting durch weitere Argumente unterlegt (Scheinsicherheit)), dass der Schaden größer ist als der Nutzen. Dem stimme ich zu, wie ich dem Rat zum Verzicht zustimmen würde, wenn ein präventiv eingenommenes Medikament keine positiven Wirknutzen hat, dafür aber umso mehr Nebenwirkungen. Das sollte mans wirklich besser lassen.
Wenn ich allerdings eine Grippeschutzimpfung durchführe und keine Nebenwirkungen habe, tja... was ist dann? Tue ich das erst nach der Anküdigung der Grippewelle am Heimatort oder tu ichs jährlich wiederkehrend präventiv, weil ich als Berufspendler Bus- und Bahnfahrer bin? Die abschließende Frage ist aber in beiden Fällen eine, auf die man niemals eine Antwort bekommt: "Hätte ich die Grippe auch ohne Impfung nicht bekommen, oder habe ich sie nicht bekommen, weil ich geimpft war?" Bezogen auf die Firewall wäre im Fall der Fälle die Komplementär-Frage "Hätte ich mit besserer Traffic-Regulierung den Schaden vielleicht verhindern können?"
Ich sehe in meinem Modell zumindest keine Performance-Probleme und weil bei mir per Default-Policy grundsätzlich alles verboten ist, auch keine Scheinsicherheit.
Zu 2, es wird unterstellt, dass der Trojaner bereits installiert ist. Ich hingegen gehe davon aus, dass er derzeit nicht installiert ist. Und natürlich beabsichtige ich mit der Personal Firewall den Anwender dahingehend zu unterstützen, nicht unbeabsichtigt oder hinters Licht geführt etwas zu öffnen oder durchzuführen, woraus schließlich die Installation des Trojaners resultieren könnte.
Ich sortiere mein Modell "Paketfilter" als kleinen Baustein in einem gößeren Komplex von Sicherungsmaßnahmen ein, der in überschaubaren Umfang die Sicherheit meiner Meinung nach auch wirklich verbessert.
Aber wie gesagt, ich verstehe die Argumente dagegen... ich teile sie nur nicht. Ich hatte das früher schon mal verglichen, mit diesem kleinen LED-Blinker, der von außerhalb des Hauses gesehen wird und den man für einen laufenden Fernseher hält. Der kostet 4,99. Brechen die Einbrecher vielleicht nicht ein, weil draußen das Rottweiler-Schild "Hier wache ich!" hängt? Oder weil sie glauben, die Leute sind zu Hause und schauen TV? Beides sind Pfennig-Artikel, beide verbessern aber trotzdem ein klein wenig die Sicherheit. Ist dieser LED-Flackerer möglicherweise unnötig, weil man eine sowieso eine tolle Alarmanlage hat, selbstverriegelnde Türen und Cam-Überwachung? Tja, spätensten dann, wenn ich den Schaden durch erfolglose Einbruchsspuren habe, werde ich mich fragen "Hätte ich den Schaden an Tür und Fenster für 2000 € vielleicht verhindern können, wenn zwei Schaltuhren das Licht im Haus ein- und ausschalten und der LED-Flackerer den TV simuliert hätte...?... alles zusammen für nur 20 €?"
Mein Fazit ist: Man darf sich nicht auf den Paketfilter allein verlassen.... aber er verbessert die Sicherheit, wenn er Bestandteil eines Security-Konzeptes ist. Für mich ist das guter Grund.