lassen wir mal meinungen und plattformen außen vor und begeben uns mal in die theorie in der es plattformen jenseits von microsoft und deren verflechtung von diensten, anwendungen und protokollen gibt. in der desktopfirewalldebatte halte ich mich ohnehin heraus, da sie mir ziemlich egal ist und mich noch nie besonders interessiert hat, nehmen mir mal theroetisch ein netzwerk einer firma, mit der ich es auch eher zu tun habe. du hast eine begrenzte anzahl admins mit begrenzter anzahl zeit und begrenzter aufmerksamkeit. diese admins sind für die sicherheit und den betrieb eines netzes zuständig und haften in gewissem maße dafür. wenn man jetzt von der unbestrittenen these ausgeht, daß jede software potentiell lücken enthält, so ergibt sich die folge, daß jeder zusätlziche dienst zusätzliche lücken ermöglicht. wird eine dieser lücken bekannt, so müssen die admins patchen, was zusatzarbeit neben der ohnehin schon anfallenden ergibt. hat man nun eventuell noch undokumentierte dieste laufen, oder niht genutzte, so kann es zudem noch vorkommen, daß eine lücke vermeintlich überhaupt nicht vorhanden ist.
ich durfte selbst schon einmal im uninetz nach einem vergessenen win2k server suchen, der innerhalb weniger stunden 10GB traffic verursacht hatte, da er gehackt und als ftp-server mißbraucht wurde. somit sollte man also vermeiden in einem netz etwas zu betreiben, das undokumentiert ist und selten oder nie genutzt wird.
in den meisten großen netzwerken hat man auch meist dedizierte rechner, nicht weil die firma zu viel geld hat, daß sie für rechner ausgeben muß, man hat einfach mehr überblick was ein rechner macht, bessere lastverteilung, bessere ausfallsicherheit und man hält das netzwerk übersichtlich, was z.b. auch filterregeln an den routern/firewalls/switches entgegen kommt. so hat ein Oracleserver eben nur einen port für die datenbank offen zu heben und eventuell noch ssh (falls nicht über ein dediziertes netzwerk administriert wird), der webserver hat ur port 80 offen zu haben, die dns server nur port53 etc...taucht im bind ne lücke auf, dann weiß der/die admin(s) genau, daß sie den einen rechner patchen müssen udn fertig. da steht dann nicht in irgendeinem kämmerlein ein webserver, bei dem im hintergrund noch ein BIND werkelt und wenn doch, dann kann der entsprechende admin mit einer gehörigen gardinenpredigt rechnen.
kommen wir jetzt zurück zu heimrechnern. microsoft unterbricht eigentlich eine jahrelang geltende regel namens KISS, alles so einfach und simpel zu halten, wie es geht und vor allem auch alles zu dokumentieren. mal ein beispiel dafür...vor einiger zeit (und immer noch) zog SQLSlammer durch die virtuellen lande und eifrige admins patchten ihre mSQL server und wähnten sich sicher. was sie vergapen waren arbeitsplatzrechner, auf denen anwendungen liefen, die die MSDE (microsoft database engine) nutzten. einer bibliothek für anwendungen, welche datenbankfeatures brauchen einfach gesagt. genau diese bibliothek war auch anfällig für slammer und viele kleine rechnerlein wurden zur slammer-schleuder weil niemand genau wusste was läuft.
ganz bestimmt wird jetzt kein normalanwender hingehen, der seinen rechner gerade bei MM gekauft hat und wild dienste deaktivieren, das kann wohl niemand verlangen. hier wäre eigentlich microsoft in der bringschuld um dafür zu sorgen, daß z.b. ein lokaler dienst, welcher wirklich ein netzwerk braucht, standardmäßig nur an den virtuellen loopbackadapter gebunden ist, was vollkommen ausreicht. wobei die wenigsten dienste wirklich einer netzwerkschnittstelle bedürfen, da sockets und pipes ein ebenso guter ersatz sind. und slebst dann wäre ein anfälliger dienst noch lokal ausnutzbar, aber die große gefahr eines entfernten exploits ist gebannt.
ich merke gerade, daß ich total abschweife, auf jeden fall lohnt es sich literatur zum thema netzwerke und richtlinien zur implementation von diensten in netzwerken zu lesen oder mit leuten zu reden, die eben auf der anderen seite der admins stehen (unser uni-netzwerkguru ist übrigens ein ehemliger hacker und der einzige nicht-dipl.-informatiker). letztendlich muß aber jeder selber wissen, wie wichtig ihm seine daten und seine sicherheit sind und die entsprechenden vorkehrungen treffen und von mir aus kann das bei einem heimuser auch eine DTF sein, er sollte sich nur davor hüten zu denken, daß er damit geschützt ist, so wie z.b. die ganzen armen nutzer der XP-internetverbindungsfirewall, wleche AOL oder T-Onlinesoftware nutzen und sich trotz des "schutzes" Blaster einfingen.