Wir müssen doch mal unterscheiden, um welche Art von Netzwerken und Sicherheitsanforderungen es geht.
Network Firewalls, die ein gesamtes Netzwerk absichern, können durch Blocken oder mandatorische Proxies für alle erlaubten Dienste dafür sorgen, daß
- der Zugang von außen in ein LAN nicht direkt möglich ist, sondern nur über Gateways,
- Datenprotokolle nach draußen verifiziert sind und der Sicherheitspolicy entsprechen
Klar ist natürlich auch, daß wenn ich eine Applikation auf einem LAN-System verwende, die "heimtelefoniert" und hierzu den HTTP-Proxy des Unternehmens verwendet, wenig auszurichten ist. Der Applikationsbezug fehlt und eine neutrale Überprüfung dieser Inhalte ist im Network Firewall selten möglich.
Personal Firewalls laufen auf den Client-Systemen und haben damit den Applikationskontext, d.h. können Rechte auf Basis von Applikation/Verkehr vergeben. Diese haben sicher ihre Berechtigung, reichen alleine jedoch nicht aus, da in einem größeren Netzwerk die Kontrolle über eine große Anzahl von individuellen PFW-Konfigurationen nicht möglich ist. Also sollte hier genau ie Möglichkeit des Lernens abgeschaltet sein, damit eine einheitliche Sicherheitspolicy gilt. Nur autorisierte Applikationen dürfen nach draußen... neue Applikationen müssen erst zugelassen werden. In diesem Fall kann man durch ein zentrales Deployment erreichen, daß auch Personal Firewalls eingesetzt werden können.
Und zum Thema Windows: die Verwendung von Windows-Diensten ist generell sehr unsicher und in sicherheitsrelevanten Bereichen nicht sinnvoll. Daher empfiehlt sich die Verwendung anderer Protokolle für Drucken und Fileserver. Das wird sicher nicht immer konsequent umgesetzt. Ideal ist eine verschlüsselte Kommunikation (z.B. SKIP) zwischen Systemen und die Verwendung offener Protokolle auf dieser.
Für den Homebereich benötigen Anwender natürlich mehr Gewalt über ihre Systeme, d.h. derart rigorose Massnahmen sind nicht sinnvoll. Dennoch sollte ein Personal Firewall nicht die Illusion der perfekten Sicherheit wecken. Ein guter Netzwerk Firewall ist weiterhin essentiell nötig. Der PFW ist optional, nicht der Netzwerk Firewall.
:meinemei:
--gandalf.