Personal Firewall

aus Wikipedia, der freien Enzyklopädie

Eine Personal Firewall (PFW, auch Desktop Firewall) ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers eingesetzt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet.

Im Gegensatz zu einer klassischen Netzwerk-Firewall ist eine Personal Firewall keine eigenständige Netzwerkeinheit die den Verkehr zwischen zwei Netzwerken filtert. Sie filtert nur zwischen dem Rechner, auf dem sie läuft und dem Netz.

Ein Nachteil dieses Prinzips ist, dass das Hacken der Firewallsoftware selbst bereits vollständigen Zugang zum zu schützenden System gibt. Die Angreifbarkeit des Rechners wird an den Stellen, an denen die Firewall aktiv ist, von seinem Netzwerk-Betriebssystem auf seine Firewall verlagert. Eine zusätzliche Sicherheit gegen Angriffe entsteht hier ausschließlich dadurch, dass eine Firewall weniger komplex ist als ein ganzes Betriebssystem - und daher statistisch weniger Fehler eingebaut worden sind.

Firewall-Prinzip; unerwünschte Daten werden ausgefiltert (rot), gewünschte Daten (blau) kommen an

[Bearbeiten] Zweck und Funktionsweise

Eine Personal Firewall (von engl. firewall „Brandmauer“) ist eine Software, die auf einem Host – d. h. auf einem an ein Netz angeschlossenen Computer – installiert ist, um diesen vor Gefahren aus dem Netz zu schützen.

Bei dem Netz kann es sich um das Internet oder um ein lokales Netz eines Unternehmens oder eines Privathaushaltes handeln. Die Personal Firewall soll Zugriffe von außen auf den Rechner kontrollieren und kann diese selektiv verhindern, um ihn vor Würmern (wie Blaster oder Sasser), Skriptkiddies oder Crackern zu schützen. Eine weitere Aufgabe besteht darin, den Verbindungsaufbau zu Backdoors oder Kommunikation von Spyware zu erkennen und zu verhindern.

[Bearbeiten] Grundlegende Funktionen

Erstellen einer Paketfilter-Regel mit einem grafischen Frontend (Firestarter)

Bei der Kommunikation in Rechnernetzen wird die zu sendende Information in einzelne Datenpakete gepackt, die über das Netz zu entfernten Rechnern weitergeleitet werden. Neben den zu übermittelnden Daten enthält jedes Paket Adressierungsinformationen: Die Quell-IP-Adresse gibt an von welchem Rechner das Paket stammt, die Ziel-IP-Adresse zu welchem Rechner es geschickt werden soll. Im Paket angegebene Nummern, die Quell-Port-Nummer und die Ziel-Port-Nummer, erlauben es dem Betriebssystem, das Paket einem Anwendungsprogramm zuzuordnen.

Der Hauptbestandteil einer Personal Firewall ist ein Paketfilter. Dieser Paketfilter ermöglicht es, eingehende oder ausgehende Datenpakete nach vorgegebenen Regeln zu blockieren. Filterkriterien können Quell- und Zieladresse, Protokoll, sowie Quell- und Zielport sein.

Im Unterschied zu externen Firewalls hat eine Personal Firewall einen Anwendungsfilter (Application Control), der einzelne Anwendungsprogramme gezielt von der Netzkommunikation ausschließen kann. Zusätzlich kann man die Anwendung in die Regeln für den zuvor erwähnten Paketfilter einfließen lassen, so dass dieser anwendungsbasiert filtern kann. So kann einzelnen Anwendungen eine bestimmte Kommunikation erlaubt werden, die anderen verboten ist.

Die Personal Firewall stellt dem Anwender oder Administrator ein grafisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.

[Bearbeiten] Weitere Funktionen

Viele Personal Firewalls bieten weitere Funktionen an, die nicht in jedem Produkt vorhanden sind.

Interaktiver Dialog von Fireflier

Die meisten Personal Firewalls verfügen über einen Lernmodus. Dabei werden die Regeln für Paketfilter und Anwendungsfilter durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird dies dem Benutzer in einem Dialogfenster gemeldet. Er kann daraufhin entscheiden, ob diese Verbindung gestattet oder blockiert werden soll. Aus der Antwort kann die Firewall eine neue Regel formulieren, die in Zukunft angewendet wird.

Mit einem Content-Filter können einige Personal Firewalls Inhalte von Datenpaketen überprüfen und beispielsweise ActiveX-Komponenten, JavaScript oder Werbebanner aus angeforderten HTML-Seiten herausfiltern. Content-Filter, die sich auf Webanwendungen spezialisiert haben, werden als Web Shield oder Web Application Firewall bezeichnet. Filter für E-Mail-Anhänge werden ebenfalls häufig angeboten.

Manche Firewalls verfügen über ein Einbrucherkennungs- und -abwehrsystem. Im Fachjargon wird dieses „Intrusion Detection System“ (IDS) beziehungsweise „Intrusion Prevention System“ (IPS) genannt. Man unterscheidet netzwerkbasierte (NIDS) und hostbasierte Intrusion Detection Systeme (HIDS). Ein NIDS untersucht den Netzverkehr auf bekannte Angriffsmuster und meldet deren Auftreten. Schadsoftware versucht oft die Filterung durch die Firewall zu umgehen. Dies könnte geschehen, indem die Schadsoftware den Dienst der Personal Firewall beendet. Ein möglicher Trick, die Personal Firewall zu umgehen, ist, ein vertrauenswürdiges Programm (beispielsweise den Browser) zu starten und über dieses die Verbindung herzustellen. Ebenso kann versucht werden, ein vertrauenswürdiges Programm oder eine davon genutzte Bibliothek zu verändern oder sich als Erweiterung für ein solches Programm einzuschleusen. Ein hostbasiertes Intrusion Detection System (HIDS) versucht, solche Tricks zu erkennen, und warnt den Benutzer.

Eine weitere mögliche Funktion ist das Sandboxing. Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemressourcen verweigert. Es soll dadurch verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.

Stateful Inspection: die Eigenschaften ausgehender Datenpakete werden in einer Statustabelle gespeichert. Mit dieser werden eingehende Datenpakete verglichen

Ein Rechner, der im Internet kommuniziert, hat in der Regel mehrere Verbindungen gleichzeitig aufgebaut. Beispielsweise wird bei dem Aufrufen einer Webseite im Internet durch den Browser vorher immer zusätzlich der Namensdienst zur Auflösung der IP-Adresse konsultiert. Das gleiche gilt für das Versenden oder Abrufen von E-Mails. Eine solche Verbindung wiederum besteht aus mehreren einzelnen Datenpaketen, die bidirektional ausgetauscht werden. Ein Paketfilter, der Stateful Inspection (zustandsgesteuerte oder dynamische Paketfilterung) beherrscht, kann ein Datenpaket nach dem Kriterium durchlassen, ob dieses Teil einer bereits bestehenden Verbindung – das heißt die Antwort auf ein vorangegangenes erlaubtes Datenpaket – ist. Man sagt, die Filterung wird durch den Zustand (bestehend oder nicht-bestehend) der Verbindung gesteuert. Daher rührt die Bezeichnung „zustandsgesteuerte Paketfilterung“. Eine von mehreren Möglichkeiten, diese Funktion zu implementieren, besteht darin, dass der Paketfilter, wenn er ein ausgehendes Datenpaket gemäß der vom Benutzer vorgegebenen Regel durchlässt, eine neue Regel generiert, die ein Paket, das die Eigenschaften einer zu erwartenden Antwort besitzt, ebenfalls erlaubt. Da diese Regel nicht starr vorgegeben ist, sondern vom Paketfilter dynamisch erzeugt wird, spricht man auch von „dynamischer Paketfilterung“.

Log dargestellt von Firestarter: Der Rechner mit der IP-Adresse 10.0.0.140 versuchte, auf Port 80 zuzugreifen. Diese Verbindungsversuche wurden vom Paketfilter geblockt und mit einer Fehlermeldung beantwortet.

Eine wichtige Funktion ist die Protokollierung des Vorgehens des Paketfilters in einer Datei, dem so genannten Logfile (kurz: Log). So ist es möglich, Fehler bei der Netzkonfiguration zu erkennen.

Einige Personal Firewalls bieten einen Stealth-Modus (von engl. stealth „Heimlichkeit“) an. Bei diesem Modus werden Anfragen auf ungenutzten Ports unbeantwortet verworfen. Normalerweise würde in einem solchen Fall eine Antwort erfolgen, dass der Rechner erreichbar, der Port jedoch nicht belegt ist. Durch das Ausbleiben der Antwort soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als „Security through Obscurity“ (Sicherheit durch Verschleierung).

Viele Personal Firewalls prüfen selbstständig, ob der Hersteller eine aktuellere Version der Firewallsoftware im Netz bereitgestellt hat, laden diese gegebenenfalls herunter und installieren sie. Diesen Vorgang nennt man „Automatisches Update“, er gewährleistet eine zeitnahe Aktualisierung der Firewallsoftware, wenn diese von Sicherheitslücken betroffen sein sollte.

Ein Fernwartungszugang kann zur Administration einer Personal Firewall auf einem Endgerät im Netzwerk durch den Netzadministrator dienen.

[Bearbeiten] Abgrenzung zur Hardware-Firewall

Eine allgemeingültige Terminologie zum Thema gibt es nicht. Die Begriffe werden unterschiedlich, manchmal sogar widersprüchlich benutzt.

Hardware-Firewall, Gateway-Firewall, Firewall-Gateway oder kurz Firewall: Sie befindet sich zwischen verschiedenen Rechnernetzen und beschränkt den Zugriff zwischen diesen Netzen

In der zweiten Auflage eines Klassikers zum Thema Firewall wird unter dem Titel „Personal-Firewall“ die Absicherung eines einzelnen Rechners mithilfe des Paketfilters ipchains beschrieben (Lit.: Cheswick 2004, S. 226). Diese Personal-Firewall wird dort von der Gateway-Firewall abgegrenzt. Letztere befindet sich als Schnittstelle zwischen zwei Computernetzen und wird im Rest des Buches „Firewall“ genannt. Eine Personal Firewall ist dagegen auf dem zu schützenden Host installiert.

Manchmal wird die mit der Installation auf dem zu schützenden Host verbundene Möglichkeit, anwendungsspezifisch zu filtern, als zwingendes Merkmal einer Personal Firewall gesehen. Eine andere Sichtweise ist, dass es sich bei einer Personal Firewall um einen Paketfilter handelt, der mit dem Benutzer interagiert. Nicht selten wird die Personal Firewall als eine Ansammlung verschiedener Sicherheitsfunktionen in einem Softwarepaket gesehen. Software, die über die im Abschnitt weitere Funktionen erwähnten Funktionen hinausgehend Viren-, Spywarescanner oder Spamfilter enthält, wird meist nicht als Personal Firewall sondern als „Security Suite“ bezeichnet.

Häufig geben Hersteller ihrer Paketfiltersoftware oder deren Konfigurationstools den Namen „Firewall“. Beispiele dafür sind die Windows Firewall, die SuSEfirewall oder die IPFirewall (ipfw) von FreeBSD. In Handbüchern von Personal Firewalls und Computerzeitschriften werden die Bezeichnungen Firewall und Personal Firewall häufig synonym eingesetzt. Bei Heimanwendern haben sich die Begriffe Hardware-Firewall und Software-Firewall eingebürgert. Hardware-Firewall bezeichnet ein externes Gerät, Software-Firewall ist ein Synonym für Personal Firewall.

Viele Netzadministratoren lehnen diese Bezeichnungen ab: Auch auf einem externen Router läuft Software. Statt zwischen Hard- und Software-Firewall solle man zwischen Routern mit Paketfilterfunktion und hostbasierten Paketfiltern (HBPF) unterscheiden. Alle der oben genannten Produkte würden – nach Meinung vieler Netzadministratoren – nicht der Bezeichnung Firewall gerecht. Eine Firewall sei ein sorgfältig geplantes und ständig gewartetes System zur Trennung von Netzbereichen. „Eine Firewall ist ein Konzept“, heißt es, „und keine Software, die man sich einfach installieren kann.“. Die Umsetzung eines solchen Firewallkonzepts – die (physische) Firewall – ist standortspezifisch und besteht nur selten aus einer einzigen Komponente.

Elisabeth D. Zwicky (Literatur: 2001, S. 34) schreibt: „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“

Zur Abgrenzung der einzelnen Wikipedia-Artikel zum Thema siehe: Firewall

[Bearbeiten] Personal Firewall als Schutzmaßnahme

Personal Firewalls bilden oftmals einen Teil der Absicherung privater PCs mit Internetzugang. Ihr Einsatz wird unter anderem von Microsoft und vielen Fachzeitschriften empfohlen. Seit Anfang 2006 wurde in der c't ^[1][2] und in Microsofts TechNet Magazine^[3] aber auch darauf hingewiesen, dass eine PFW als Schutz vor Angriffen von Innen nur gegen Schädlinge hilft, die sich keine Mühe geben, sich zu verstecken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Personal Firewall als empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet.^[4] Das Amt warnt aber davor, sich auf eine PFW als alleinige Schutzmaßnahme zu verlassen. Wichtiger sind nach Angaben des BSI Viren- und Spywarescanner, regelmäßige Datensicherung (Backup), baldiges Aktualisieren (Update) der eingesetzten Software nach Bekanntwerden einer Sicherheitslücke, möglichst sichere Konfiguration von Webbrowser, E-Mail-Programm und Betriebssystem und generell ein vorsichtiger Umgang mit dem Internet.^[5] Eine eindeutige Aussage, ob eine Personal Firewall auf dem PC eines Privatanwenders für sinnvoll gehalten wird, trifft das BSI demnach nicht.

Auf Kritik stieß der Einsatz von Personal Firewalls von Anfang an in der Newsgroup de.comp.security (heute de.comp.security.firewall). Sicherheitslücken werden durch nicht vertrauenswürdige oder fehlerhafte Software verursacht, oder durch deren unsachgemäße Konfiguration. Es sei der falsche Weg, diesem Sicherheitsproblem durch Hinzufügen zusätzlicher Software zu begegnen, die ebenfalls fehlerhaft oder fehlkonfiguriert sein könne. Personal Firewalls würden die Komplexität des Gesamtsystems und somit dessen Angriffsfläche erhöhen.

Das kritische FAQ der Newsgroup de.comp.security.firewall gesteht Personal Firewalls zu, dass man deren Logs benutzen kann, um mehr über den durch den eigenen Rechner initiierten Netzverkehr zu lernen.^[6] Ein genaues Verständnis der Vorgänge setzt Kenntnisse über die Internetprotokollfamilie voraus.

[Bearbeiten] Schutz vor Angriffen von außen

Angriffe von außen richten sich meist gegen Programme, die Netzwerkdienste anbieten. Im Heimanwenderbereich sind Datei- und Druckdienste, RPC-Dienste, Nachrichtendienste sehr verbreitet. Programme, deren Aufgabe es ist, den Dienst anzubieten nennt man Server oder Peers. Ein Server oder Peer fordert einen Socket vom Betriebssystem an, um auf Anfragen von unbekannten Rechnern aus dem Netz zu warten.

Angriffe können gegen den Authentifizierungsmechanismus dieser Dienste gerichtet sein. Der Angreifer nutzt meist schwache Passwörter aus, um Zugriff auf das System zu erlangen. Dies gilt beispielsweise für die Dateifreigaben oder für SSH. Andere Angriffsarten nutzen Programmfehler (meist ein Pufferüberlauf) im Server, um Code auf dem entfernten Host zur Ausführung zu bringen. So nutzte der Internetwurm Blaster eine Schwachstelle im RPC-Dienst von Windows 2000 und Windows XP.

Bei einigen Betriebssystemen wie beispielsweise Solaris oder Windows NT, 2000 und XP werden Netzwerkdienste schon in der Standardkonfiguration auf allen Netzwerkschnittstellen angeboten. Dies hat zur Folge, dass Rechner mit ungepatchem Windows 2000 und Windows XP bis SP1 als Betriebssystem im Durchschnitt bereits wenige Minuten, nachdem sie ohne Schutz durch eine Firewall mit dem Internet verbunden werden, Angriffen zum Opfer fallen. Der Rechner ist meist kompromittiert, noch bevor die zu Verhinderung des Angriffs benötigten Sicherheitsupdates heruntergeladen werden können. In Windows XP SP2 werden derartige Angriffe von der integrierten und standardmäßig aktiven Windows Firewall abgewehrt.

Der Paketfilter einer Personal Firewall schützt vor den hier beschriebenen Angriffen, indem er alle Datenpakete aus dem Internet verwirft, die an den Port, an dem der Server lauscht, gerichtet sind. Obwohl der Server läuft und an einem Port lauscht, ist er vom Internet aus nicht erreichbar. Der Server kann von anderen Rechnern nicht angegriffen, aber auch nicht genutzt werden.

Viele Angriffe lassen sich ohne Firewall verhindern, wenn der Dienst, der eine Sicherheitslücke aufweist, rechtzeitig gepatcht wird. Im Falle einer Zero-Day-Attacke ist dies allerdings nicht möglich. Eine andere Schutzmöglichkeit besteht darin, Angriffe durch eine restriktive Netzwerkkonfiguration abzuwehren, indem ungenutzte Server abgeschaltet werden oder an ein Netzwerkinterface gebunden werden, das vom Internet nicht erreichbar ist. Eine Personal Firewall kann den unerwünschten Zugriff auf Server filtern, die der Benutzer nicht beenden kann oder möchte, oder von denen er gar nicht bemerkt hat, dass sie laufen.

Eine wesentlich geringere Bedeutung hatten in den letzten Jahren Angriffe gegen die TCP/IP-Software des Betriebssystems selbst. Das Ping of Death ist ein Beispiel für einen solchen Angriff. Bei solchen Angriffen ist eine externe Firewall von Vorteil, die auf ihrem eigenen Betriebssystem läuft, das von jenem des zu schützenden Rechner unabhängig ist. Unter Umständen kann ein hostbasierter Paketfilter ebenfalls Angriffe gegen den IP-Stack abwehren, nämlich dann, wenn er Pakete bereits verwirft, bevor sie den fehlerhaften Teil des IP-Stacks durchlaufen.

Personal Firewalls bestehen aus Software, die fehlerhaft sein kann. Manchmal werden Schwachstellen in Personal Firewalls bekannt, die es erst ermöglichen, zu schützende Systeme über das Netz anzugreifen. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von BlackICE und RealSecure Opfer des Witty-Wurms.

Ein Nachteil der Personal Firewall gegenüber der Gateway-Firewall (auch kurz Firewall genannt) und dem Einsatz von Bastion-Hosts ist, dass der Angreifer nach erfolgreichem Angriff der Personal-Firewall-Software bereits vollen Zugriff auf das zu schützende System erlangt.

[Bearbeiten] Schutz vor Angriffen von innen

Häufig gelangt Schadsoftware über einen Pufferüberlauf in einer Anwendung oder als Trojanisches Pferd auf den Rechner. Dieses wird vom Benutzer, der von der Schädlichkeit des Programms nichts ahnt, ausgeführt. Es zählt nicht zu den Aufgaben einer Personal Firewall, vor dem Ausführen eines Trojanischen Pferdes zu schützen. Aber sie soll die spätere Kommunikation von auf diese Weise auf den Rechner gelangter Malware aufdecken oder vereiteln.

Vor allem wenn die Schadsoftware mit eingeschränkten Benutzerrechten ausgeführt wird, kann eine PFW oft verhindern, dass die Malware eine Hintertür (engl. Backdoor) auf dem System einrichtet. Erfahrene Benutzer können aus den Logmeldungen der Personal Firewall den Versuch, eine Backdoor einzurichten, erkennen. Meist kann jedoch nicht mit Sicherheit gesagt werden, ob die von der Personal Firewall vereitelte Aktion die einzige Funktion der Schadsoftware ist oder ob weitere unbemerkte Manipulationen am Betriebssystem vorgenommen wurden. In diesem Fall gilt das System als kompromittiert. Ein solches kann auch durch eine Personal Firewall nicht mehr gesichert werden.

Personal Firewalls, die ausgehende Verbindungen kontrollieren, konnten in der Vergangenheit bestimmte E-Mail-Würmer, die ihren eigenen SMTP-Client mitbrachten, an der Verbreitung hindern. Einige E-Mail-Würmer versuchen daher, die Personal Firewall zu beenden. Ob dies gelingt hängt, stark von der eingesetzten Firewallsoftware ab.

Häufig werden Personal Firewalls dazu eingesetzt, Spyware zu erkennen, die noch nicht in der Datenbank eines Spywarescanners enthalten ist. Verlangt ein unbekannter Prozess nach einer Verbindung mit dem Internet, ist diesbezüglich ein Verdacht gegeben, dessen Prüfung unerfahrenen Anwendern jedoch oft schwer fällt. So werden häufig Programme für Spyware gehalten, die lediglich nach Updates suchen. Umgekehrt tarnt sich Schadsoftware oft als nützlicher Systemprozess.

Ein technisches Problem ist, dass es zahlreiche Möglichkeiten gibt, die Filterung ausgehender Verbindungen zu umgehen: Die Paketfilterung kann genauso wie bei externen Paketfiltern über getunnelte Verbindungen umgangen werden. Die Anwendungskontrolle kann umgangen werden, indem ein von der PFW als vertrauenswürdig eingestuftes Programm zur Herstellung der Verbindung herangezogen wird. So demonstrierte beispielsweise der Chaos Computer Club Ulm in einem Vortrag über Personal Firewalls eine Methode, den Browser aufzurufen und Informationen nach außen zu senden, die von keiner der getesteten PFWs erkannt oder verhindert werden konnte (siehe Weblinks).

[Bearbeiten] Stealth-Modus

Der IRC-Client Irssi wartet schon fast eine Minute auf die Bestätigung seiner Anmeldung im IRCNet. Möglicher Grund: Der IRC-Server wartet seinerseits auf die Beantwortung seiner Ident-Anfrage. Diese wurde jedoch von einer Firewall verworfen.

Kritisch wird der von manchen Firewall-Produkten angebotene Stealth-Modus (siehe weitere Funktionen) gesehen. Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Administratoren haben beobachtet, dass Rechner, die auf Pings nicht antworten, vergleichsweise seltener gescannt und seltener angegriffen werden. Aus technischer Sicht kann der Stealth-Modus weder einen Angriff noch einen Scan der TCP-Ports verhindern: Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“ antwortet, weiß ein Angreifer, dass der Rechner existiert. Ein Portscanner kann das Problem, dass es bei Anfragen zu einer Zeitüberschreitung (engl. Timeout) kommt, umgehen: Er sendet die Anfragen parallel und sammelt alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als „gefiltert“ angezeigt. Der Portscan wird ausgebremst, aber nicht verhindert.

Reguläre Programme können durch den Einsatz des Stealth-Modus behindert werden. Dies gilt beispielsweise für Internet-Anwendungen, die den Authentifizierungsdienst (auch „auth-service“ oder „ident“ genannt) nutzen. Manche Server bauen im Rahmen des Anmeldevorgangs eine Verbindung zum TCP-Port 113, dem auth-service des Client-Computers auf. Man spricht von einer Ident-Anfrage. Diese dient Administratoren von Mehrbenutzersystemen dazu, festzustellen, welcher Benutzer den Service verwendet hat. Heimanwender benötigen den Authentifizierungsdienst nicht. Wird die Ident-Anfrage jedoch nicht zurückgesetzt, sondern kommt es auf Grund der Firewall zu einer Zeitüberschreitung der Anfrage, kann dies zu Problemen bei der Anmeldung bei Mail-, Web-, FTP-, oder IRC-Servern führen.

Ident-Anfrage
Die Ident-Anfrage des Servers wird von der PFW verworfen. Der Server wartet den Timeout ab, bevor er den Verbindungsaufbau fortsetzt.	In einer anderen Rechnerkonfiguration wird die Ident-Anfrage von der Firewall mit TCP-RST beantwortet. Die Probleme werden dadurch vermieden

Einige Personal Firewalls filtern im Stealth-Modus alle eingehenden Meldungen des „Internet Control Message Protocols“ (ICMP). Besonders der Meldungstyp 3 „Destination Unreachable“ transportiert jedoch wichtige Fehler- und Kontrollnachrichten für gewollte Internetverbindungen. Dazu gehört beispielsweise die Ermittlung der maximalen Paketgröße (MTU für Maximum Transmission Unit), die über ein Netzwerk übertragen werden kann. Wird ICMP gefiltert, kann es zu unerwarteten Netzproblemen kommen. Wenn zum Beispiel Websites von Google Groups oder eBay nicht angesurft werden können, während andere Websites problemlos funktionieren, deutet dies auf MTU-Probleme hin.

Im Gegensatz zum ersten Logfile werden hier die Anfragen unbeantwortet verworfen. Der Client hört nicht auf, die Anfrage zu wiederholen.

Interessanterweise kann die Strategie, eingehende Anfragen nicht zu beantworten, zu höherem Datenverkehr führen. Viele Anwendungen stellen die Anfrage nämlich erneut, wenn sie keine Antwort oder Fehlermeldung erhalten.

[Bearbeiten] Konfiguration

Die Schutzwirkung, die sich mithilfe einer Personal Firewall erzielen lässt, hängt zu einem hohen Grad von deren sachgemäßen Konfiguration ab.

Die Grundeinstellungen eignen sich häufig nicht für den vom Benutzer gewünschten Einsatzzweck. So stellt beispielsweise ein Fernwartungszugang, wie er von Kerio 2 in der Standardkonfiguration angeboten wird, beim Einsatz der Personal Firewall auf einem Einzelplatzrechner mit Internetzugang nur ein unnötiges Risiko dar.

Die meisten, aber keineswegs alle Produkte blockieren in den Grundeinstellungen den Zugriff von außen auf die vom Rechner angebotenen Netzwerkdienste. Bei der Tiny Personal Firewall muss diese Paketfilterfunktion erst vom Benutzer aktiviert werden, wenn sie benötigt wird.

Mithilfe der Rechtetrennung des Betriebssystems lässt sich die Schutzwirkung einer Desktop Firewall erhöhen. Wird zum Surfen im Internet ein eingeschränktes Benutzerkonto verwendet, läuft Schadsoftware, die dabei unbeabsichtigt ausgeführt wird, ebenfalls nur mit eingeschränkten Rechten und kann die Konfiguration der Personal Firewall nicht manipulieren.

Viele Hersteller raten vom Betrieb von mehr als einer Personal Firewall auf einem Rechner ab, da sich diese gegenseitig behindern können, und daher die Schutzwirkung verloren geht. Setzt man eine andere Personal Firewall ein, empfiehlt Microsoft, die bei Windows XP Service Pack 2 mitgelieferte Windows Firewall zu deaktivieren.

Firestarter wurde für ausgehenden Datenverkehr nach einer Restriktiven Grundhaltung konfiguriert.

Bei der Konfiguration einer Personal Firewall kann man nach verschiedenen Grundhaltungen vorgehen: „Erlaubt ist alles, was nicht ausdrücklich verboten ist“ und „Verboten ist alles, was nicht ausdrücklich erlaubt ist“. Letztere Grundhaltung gilt als sicherer, ist aber schwieriger zu konfigurieren.

Für unerfahrene Benutzer wirkt es oft verwirrend, wenn für unbekannte Prozesse nach einer Regel verlangt wird. Manche dieser Prozesse gehören zum Betriebssystem und sind für Internetverbindungen notwendig. Bei der Definition der Regeln nach der zuletzt genannten Grundhaltung werden zunächst so wenige Prozesse wie möglich freigegeben. Funktioniert danach eine Software nicht mehr wie erwartet, so kann das Log nach gesperrten Verbindungen durchsucht werden, um den zu der behinderten Software gehörenden Prozess freizugeben. Bei unbekannten Prozessen empfiehlt es sich, nach weiteren Informationen zu forschen, um zu klären, wozu dieser Prozess gehört.

[Bearbeiten] Personal-Firewall-Software

[Bearbeiten] Windows Firewall

Die Windows Firewall ist Bestandteil von Windows XP und Vista. Seit Windows XP SP2 ist die Windows Firewall in der Standardkonfiguration bereits aktiviert. Sie verwirft eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste anbieten, bei Benutzern, die über Administratorrechte verfügen, nach, ob eingehende Verbindungen zu den von diesen Programmen geöffneten Ports erlaubt werden sollen. Sie kann über das Sicherheitscenter – der ebenfalls mit Service Pack 2 hinzugekommenen zentralen Verwaltungsstelle für Personal Firewalls und Virenscanner – oder über die Datei Namens NETFW.INF konfiguriert werden. Dort kann man in zwei Profilen Ausnahmelisten für bestimmte Ports und Programme erstellen.

Im Gegensatz zu Windows 98 bringen die Betriebssysteme Windows NT4 und Windows 2000 bordeigene Möglichkeiten der Paketfilterung mit. Einerseits stellt IPsec eine Möglichkeit zur regelsatzbasierten Paketfilterung dar, andererseits können in den Eigenschaften der Netzwerkverbindung Filter für eingehende Verbindungen auf bestimmte Ports definiert werden.

Mit Windows XP bis inklusive Service Pack 1 wird die Internet Connection Firewall (ICF) mitgeliefert. Sie kann für einzelne Netzwerkinterfaces aktiviert werden und prüft eingehende Datenpakete dahingehend, ob diese zuvor angefordert worden sind. In der Standardkonfiguration ist die ICF nicht aktiviert. Dies hatte zur Folge dass viele nicht rechtzeitig gepatchte Windows XP Rechner den Internetwürmern Blaster und Sasser zum Opfer fielen.

Mit dem Service Pack 2 für Windows XP kamen weitere Sicherheitsfunktionen hinzu: Das Sicherheitscenter wurde eingeführt. Die Funktionen der Firewall wurde erweitert und sie wurde in Windows Firewall umbenannt. Sie wird bei der Installation des Service Packs 2 oder bei der Windowsinstallation von einem Datenträger mit integriertem (engl.: slipstreamed) Service Pack 2 automatisch aktiviert. Anfänglich beeinträchtigte ein Programmierfehler die zuverlässige Funktion der Windows Firewall. Dieser wurde kurz nach Erscheinen des Service Pack 2 in einem Sicherheitsupdate vom 14. Dezember 2004 beseitigt. Nach außen gerichtete Verbindungen kontrolliert die Windows Firewall unter Windows XP nicht.

Im aktuellen Windows Vista wurde die Funktion der Firewall erneut erweitert: Sie kann ausgehende Verbindungen filtern. Außerdem wurden die bisher von der Windows Firewall unabhängigen IPsec Richtlinien integriert und sie soll über einen Fernwartungszugang verfügen.

[Bearbeiten] ZoneAlarm

Von ZoneAlarm gibt es eine für Privatanwender kostenlose Version und die kommerzielle Version ZoneAlarm Pro, die einen größeren Funktionsumfang bietet. Der Name kommt daher, dass die Personal Firewall getrennte Sicherheitseinstellungen für zwei verschiedene Zonen – eine für das lokale Netz und eine für das Internet – erlaubt. Der Hersteller gibt die Betriebssysteme Windows 2000 Professional oder Windows XP und einen Pentium III Prozessor mit 450 MHz oder höher als Systemanforderungen an. Der Schwerpunkt des Produkts liegt auf einfacher Installation und Konfiguration. Seit der Version 6.5 werden die Betriebssysteme Windows 98SE und ME nicht mehr unterstützt, da auch Microsoft seit 11. Juli 2006 den Support der genannten Betriebssysteme eingestellt hat.

Der Hersteller der Desktop-Firewall, die Firma Zone Labs mit Sitz in San Francisco, wurde 1997 gegründet. Anfang 2004 wurde sie für um die 205 Millionen Dollar von der Firma Check Point, einem bekannten Hersteller von Firewall- und VPN-Produkten, aufgekauft.

Im Januar 2006 geriet ZoneAlarm in Verdacht, verschlüsselt Daten an den Hersteller zu versenden.^[1] Laut Hersteller soll dies ein Programmfehler gewesen sein, der mit der Version 6.1.744 vom 1. März 2006 ausgeräumt worden sein soll.

[Bearbeiten] Sunbelt Kerio Personal Firewall

Die Sunbelt Kerio Personal Firewall (SKPF) läuft auf Windows XP und Windows 2000 Professional. Die Betriebssysteme Windows 98 und ME werden seit Version 4.2 nicht mehr unterstützt. Die Desktop Firewall kann nach Registrierung mit Name und E-Mail-Adresse bei der Firma Sunbelt heruntergeladen werden. Nach der Installation erhält man zunächst eine Vollversion, die 30 Tage getestet werden darf. Danach kann die Software entweder käuflich erworben werden oder als limitierte Edition weiter genutzt werden. In der kostenlosen Version fehlen Content Filter, hostbasiertes IDS, Fernwartungszugang sowie die Möglichkeit, die Firewall auf einem Router einzusetzen.

Die Firewall entstammt der Tiny Personal Firewall. Die Firma Kerio Technologies Inc. erwarb die Rechte an dem Produkt, entwickelte es weiter und veröffentlichte im März 2002 die endgültige Version 2.1 unter dem Namen Kerio Personal Firewall. Die Software war Freeware. Mit Version 4 wurde 2003 der Funktionsumfang von Kerio stark erweitert und eine kommerzielle Version eingeführt. Im September 2005 stellte Kerio die Entwicklung des Produkts ein. Kerio-Mitarbeiter begründeten dies im Produkt-Forum damit, dass die Firewall nicht profitabel sei. Ein Firmensprecher erklärte, man wolle sich auf die Entwicklung des Kerio-MailServers und der WinRoute Firewalls konzentrieren. Im Dezember 2005 wurde die Kerio Personal Firewall von der Firma Sunbelt Software übernommen und ist seither unter dem Namen Sunbelt Kerio Personal Firewall erhältlich. Da Firmengründer Stu Sjouwerman Mitglied bei Scientology sein soll, stieß die Übernahme bei einigen Anwendern auf Skepsis, und sorgte in Webforen für rege Diskussionen.

[Bearbeiten] Norton Personal Firewall

Die Norton Personal Firewall ist Bestandteil des kommerziellen Softwarepakets Norton Internet Security. Dieses enthält neben der Desktop-Firewall ein Antivirenprogramm und einen Spamfilter. Versionen existieren für die Betriebssysteme Windows 2000 SP3 und XP (Norton Personal Firewall 2006), für Windows 98 und ME (Norton Personal Firewall 2005) sowie für Mac OS 9 und OS X (Norton Personal Firewall 3.0. for Macintosh).

Historischer Vorläufer der Norton Personal Firewall ist die Personal Firewall AtGuard von WRQ, die als Freeware zur Verfügung stand. Symantec kaufte 1999 AtGuard von WRQ. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf den Hersteller des Norton Commanders, die Firma Peter Norton Computing, zurück, die 1990 von Symantec gekauft wurde.

Im Usenet berichten Anwender, dass die Software viele Ressourcen benötigt. Auch von Schwierigkeiten bei der Deinstallation und von Kompatibilitätsproblemen mit anderen Programmen wird häufig berichtet.

[Bearbeiten] Weitere bekannte Personal Firewalls

• AtGuard
• Bitdefender Security Firewall
• F-Secure Internet Security
• Kaspersky Anti-Hacker
• Norman Personal Firewall
• Outpost
• Sygate Personal Firewall (Nach der Übernahme durch Symantec wurden Support und Weiterentwicklung der Sygate Personal Firewall am 30. November 2005 eingestellt.)
• Tiny Personal Firewall
• Jetico Personal Firewall
• Sophos Client Firewall
• Comodo Personal Firewall

[Bearbeiten] Linux und andere Unix-ähnliche Betriebssysteme

Ein Computer, auf dem UNIX oder ein Unix-Derivat als Betriebssystem eingesetzt wird, lässt sich ebenfalls durch einen hostbasierten Paketfilter absichern. Viele für Personal Firewalls typische Funktionen lassen sich mit Software hervorrufen, die für UNIX erhältlich ist.

Ein Konfigurationsskript für die IPFirewall von FreeBSD wird mit dem Texteditor Vim bearbeitet.

FreeBSD bringt mit dem Skript rc.firewall einen vorgefertigten Regelsatz für den Paketfilter IPFirewall (ipfw) mit. Für den Schutz eines Einzelplatzrechners mit Internetzugang kann das rc.firewall-Skript mit der Option „client“ aufgerufen werden. Im Benutzerhandbuch des Betriebssystems findet man Beispielkonfigurationen für den hostbasierten Einsatz der Paketfilteralternativen IPFilter (ipf) und pf. Benutzer, die Konfigurationswerkzeuge mit grafischer Bedienoberfläche bevorzugen, finden einige wenige Programme in den Ports: Die Qt-Firewall (qtfw) ist ein Frontend für die IPFirewall.

Mac OS X enthält ebenfalls den Paketfilter IPFirewall (ipfw). Bekannte grafische Frontends für diesen Paketfilter unter OS X sind die Shareware-Programme BrickHouse von Brian Hill und Firewalk der Firma Pliris LLC. Seit Mac OS X 10.2 (Jaguar) ist ein grafisches Frontend für ipfw im Betriebssystem enthalten. Das kommerzielle Programm Little Snitch hat sich auf das anwendungsbasierte Filtern ausgehender Verbindungen spezialisiert – jene Funktion, die ipfw nicht bietet. Little Snitch kann interaktiv über Dialogfenster konfiguriert werden. Diese Fenster erscheinen und informieren den Benutzer, wenn eine Anwendung eine Verbindung ins Internet herstellt. (siehe Lernmodus)

Der in Linux enthaltene Paketfilter netfilter beherrscht anwendungsbasiertes Filtern. Das textbasierte Standard-Frontend für netfilter heißt iptables. Als grafisches Frontend für netfilter gibt es Programme wie KMyFirewall und Guarddog für KDE und Firestarter für den GNOME-Desktop. Firestarter ist übersichtlich und einfach zu bedienen, erlaubt aber dennoch umfangreiche Einstellmöglichkeiten, wie das Filtern bestimmter ICMP-Typen, oder das Zurückweisen von Paketen mit einer Fehlermeldung. Anwender können selbst Module schreiben, um das Programm zu erweitern. Viele Linux-Distributionen bringen eigene Werkzeuge zur Einrichtung des Paketfilters mit: Die SuSEfirewall beispielsweise ist eine Skriptsammlung für iptables. Sie kann mit dem grafischen Installations- und Konfigurationswerkzeug YaST (Yet another Setup Tool) eingerichtet werden.

Die Personal Firewall TuxGuardian beruht auf den Linux Security Modules (LSM) des Linux-Kernels 2.6. TuxGuardian erlaubt Anwendungskontrolle und kann mit dem Benutzer über Dialogfenster interagieren.

Fireflier ist ebenfalls eine Personal Firewall, die sowohl detailliert interaktiv konfiguriert werden kann als auch eine mit IP-Adressen und -Ports kombinierte Anwendungskontrolle erlaubt. Sie stellt sowohl für KDE wie GNOME ein Clientprogramm zur Verfügung. Mit der Oberfläche kann man individuelle iptables-Regeln festlegen, inklusive Stateful Inspection.

Eine Personal Firewall mit grafischer Bedienoberfläche ist auch in dem kommerziellen und größtenteils proprietären Linux-Sicherheitspaket DesktopSecure der Firma Panda Software enthalten.

Das Programm Systrace kann Systemaufrufe kontrollieren.

Der grafische Regelgenerator Firewall Builder (Fwbuilder) läuft auf mehreren Betriebssystemen und unterstützt verschiedene Paketfilter. Obwohl Firewall Builder vorwiegend für den professionellen Einsatz gedacht ist, existieren Anleitungen (HowTos) zum Einrichten einer Personal Firewall mithilfe dieses Programms. Zur Protokollierung kommt unter unixoiden Betriebssystemen meist syslog zum Einsatz. Die meisten Syslog-Implementierungen können über Unix Domain Sockets kommunizieren, wenn sie lokale Logfiles anlegen. Ein beliebtes Intrusion Detection System ist Snort. In eine Sandbox lassen sich Anwendungen, die für eine Kompromittierung anfällig sind, mithilfe von chroot oder jails sperren. Anwendungskontrolle ist mithilfe von Mandatory Access Control möglich. Implementierungen sind RSBAC, SELinux, AppArmor, grsecurity und Systrace. Systrace ist Bestandteil von NetBSD, OpenBSD und OpenDarwin. Es wurde auf Linux und Mac OS X portiert. Als Content-Filter lassen sich der Web-Cache-Proxy Squid in Verbindung mit SquidGuard oder DansGuardian einsetzen.

[Bearbeiten] Open-Source-Software für Windows

Während es sich bei der hier besprochenen Software für Linux um quelloffene und meist freie Software handelt, dominieren unter Windows Closed-Source-Programme von kommerziellen Anbietern. Es sind jedoch auch einige Open-Source-Projekte für Windows entstanden:

Die iSafer Winsock Firewall, eine Winsock-basierte Personal Firewall, steht unter der GNU General Public License (GPL). PeerGuardian ist ebenfalls unter der GPL lizenziert. PeerGuardian wurde mit dem Ziel entwickelt, Spyware in Peer-to-Peer-Programmen zu blockieren. Version 1 wurde – für Firewallsoftware ungewöhnlich – in Visual Basic programmiert. PeerGuardian 2 ist in C und C++ geschrieben und wurde auch auf unixoide Betriebssysteme portiert. Die Personal Firewall CORE FORCE ist ein Community-Projekt der Firma Core Security Technologies. Die erste öffentliche Beta-Version der Software wurde im Oktober 2005 unter der Apache-Lizenz Version 2.0 zum Download freigegeben. CORE FORCE beruht auf dem von OpenBSD stammenden Paketfilter pf. Ebenfalls quelloffen ist die Paketfilter-basierte Personal Firewall NetDefender.

Der unter UNIX übliche Ansatz, eine Personal Firewall aus Einzelkomponenten zusammenzusetzen, ist auch unter Windows möglich. Auch für Windows existiert reine Paketfiltersoftware: WIPFW ist ein Port der FreeBSD IPFW für Windows. PktFilter, ein Produkt des französischen IT-Sicherheits-Unternehmens „Hervé Schauer Consultants“, ist unter der BSD-Lizenz erhältlich und verwendet eine Syntax, die IPFilter ähnlich ist.

Anstelle von Filterung auf Anwendungsebene können beispielsweise Webbrowser verwendet werden, für die Pop-up-Blocker existieren.

[Bearbeiten] Literatur

• Cheswick, William R. / Bellovin, Steve M. / Rubin, Aviel D.: Firewalls und Sicherheit im Internet. Addison-Wesley Verlag, München 2004, ISBN 3-8273-2117-4
• YEO, Lisa: Personal Firewalls for Administrators and Remote Users. Prentice Hall PTR, New Jersey 2003, ISBN 0-13-046222-5
• Zwicky / Cooper / Chapman: Einrichten von Internet Firewalls. O'Reilly Verlag, Köln 2001, ISBN 3-89721-169-6

[Bearbeiten] Quellen

1. ↑ ^{a b} Jürgen Schmidt: ZoneAlarm im Kreuzfeuer auf Heise online, 24.01.2006
2. ↑ Jürgen Schmidt: Der Spion der aus dem Inneren kam. Warum Personal Firewalls als Detektiv versagen, in c't 2006, Heft 17, Seite 108-110, 07. August 2006
3. ↑ Jesper Johansson, Steve Riley: Deconstructing Common Security Myths In: TechNet Magazine Mai/Juni 2006
4. ↑ Bundesamt für Sicherheit in der Informationstechnik: Wer braucht welchen Schutz? auf der Seite "BSI für Bürger", 2006
5. ↑ Bundesamt für Sicherheit in der Informationstechnik: Technische Schutzmaßnahmen auf der Seite "BSI für Bürger", 2006
6. ↑ Lutz Donnerhacke: de.comp.security.firewall FAQ; Frage: Wie kann ich sehen was auf meinem Interface/Netzwerk passiert?

[Bearbeiten] Weblinks

• BSI über Personal Firewalls
• Lücken von Personal Firewalls
• Personal Firewall Ruleset Anleitung
• Reviews von Personal-Firewall-Produkten (engl.)
• Vortrag des CCC Ulm über Personal Firewalls (Video- und Audio-Aufzeichnung, Folien, Quellcode, Dokumentation)

Dieser Artikel wurde in die Liste der Lesenswerten Artikel aufgenommen.