Personal Firewall
Eine Personal Firewall (PFW, auch Desktop Firewall) ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Dies soll dem Schutz des Computers dienen, ihre Wirkung ist allerdings umstritten. Während in der Newsgroup de.comp.security.firewall die Wirkung von Personal Firewalls bezweifelt wird, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Personal Firewall als eine empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet.
Eine Personal Firewall ist nur ein Typ bzw. eine Art einer Firewall. Streng genommen ist es eigentlich gar keine Firewall, da eine Firewall als eigenständige Netzwerkeinheit zwischen zwei Netzwerken, die sie miteinander verbindet, filtert. Eine Personal Firewall jedoch filtert zwischen einem Netzwerk und der Software des Rechners, auf dem sie läuft. Ein Nachteil dieses Prinzips ist, dass das Hacken der Firewallsoftware selbst bereits vollständigen Zugang zum zu schützenden System gibt, schlimmer noch: dadurch wird ein neuer potentieller Angriffspunkt geschaffen, der ohne Einsatz der Personal Firewall nicht existiert. Nicht nur aus diesem Grund sind Personal Firewalls sehr umstritten.
Zweck und Funktionsweise
Eine Personal Firewall (von engl. firewall „Brandmauer“) ist eine Software, die auf einem Host – d. h. auf einem an ein Netz angeschlossenen Computer – installiert ist, um diesen vor Gefahren aus dem Netz zu schützen.
Bei dem Netz kann es sich um das Internet oder um ein lokales Netz eines Unternehmens oder eines Privathaushaltes handeln. Die Personal Firewall soll Zugriffe von außen auf den Rechner kontrollieren und kann diese selektiv verhindern, um ihn vor Würmern (wie Blaster oder Sasser), Skriptkiddies oder Crackern zu schützen. Eine weitere Aufgabe besteht darin, den Verbindungsaufbau zu Backdoors oder Kommunikation von Spyware zu erkennen und zu verhindern.
Grundlegende Funktionen
Der Hauptbestandteil einer Personal Firewall ist ein Paketfilter. Dieser Paketfilter ermöglicht es, eingehende oder ausgehende Datenpakete nach vorgegebenen Regeln zu blockieren. Filterkriterien können Quell- und Zieladresse, Protokoll, sowie Quell- und Zielport sein.
Im Unterschied zu externen Firewalls hat eine Personal Firewall einen Anwendungsfilter (Application Control), der einzelne Anwendungsprogramme gezielt von der Netzkommunikation ausschließen kann. Zusätzlich kann man die Anwendung in die Regeln für den zuvor erwähnten Paketfilter einfließen lassen, so dass dieser anwendungsbasiert filtern kann. So kann einzelnen Anwendungen eine bestimmte Kommunikation erlaubt werden, die anderen verboten ist.
Die Personal Firewall stellt dem Anwender oder Administrator ein grafisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.
Weitere Funktionen
Viele Personal Firewalls bieten weitere Funktionen an, die aber nicht unbedingt in jedem Produkt vorhanden sind.
Die meisten Personal Firewalls verfügen über einen Lernmodus. Dabei werden die Regeln für Paketfilter und Anwendungsfilter durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird dies dem Benutzer in einem Dialogfenster gemeldet. Er kann daraufhin entscheiden, ob diese Verbindung gestattet oder blockiert werden soll. Aus der Antwort kann die Firewall eine neue Regel formulieren, die in Zukunft angewendet wird.
Mit einem Content-Filter können einige Personal Firewalls Inhalte von Datenpaketen überprüfen und beispielsweise ActiveX-Komponenten, JavaScript oder Werbebanner aus angeforderten HTML-Seiten herausfiltern. Content-Filter, die sich auf Webanwendungen spezialisiert haben, werden als Web Shield oder Web Application Firewall bezeichnet. Filter für E-Mail-Anhänge werden ebenfalls häufig angeboten.
Manche Firewalls verfügen über ein Einbrucherkennungs- und -abwehrsystem. Im Fachjargon wird dieses „Intrusion Detection System“ (IDS) beziehungsweise „Intrusion Prevention System“ (IPS) genannt. Man unterscheidet netzwerkbasierte (NIDS) und hostbasierte Intrusion Detection Systeme (HIDS). Ein NIDS untersucht den Netzverkehr auf bekannte Angriffsmuster und meldet deren Auftreten. Schadsoftware versucht oft die Filterung durch die Firewall zu umgehen. Dies könnte geschehen, indem die Schadsoftware den Dienst der Personal Firewall beendet. Ein möglicher Trick, die Personal Firewall zu umgehen, ist, ein vertrauenswürdiges Programm (beispielsweise den Browser) zu starten und über dieses die Verbindung herzustellen. Ebenso kann versucht werden, ein vertrauenswürdiges Programm oder eine davon genutzte Bibliothek zu verändern oder sich als Erweiterung für ein solches Programm einzuschleusen. Ein hostbasiertes Intrusion Detection System (HIDS) versucht, solche Tricks zu erkennen, und warnt den Benutzer.
Eine weitere mögliche Funktion ist das Sandboxing. Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemressourcen verweigert. Es soll dadurch verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.
Ein Rechner, der im Internet kommuniziert, hat in der Regel mehrere Verbindungen gleichzeitig aufgebaut. Beispielsweise wird bei dem Aufrufen einer Webseite im Internet durch den Browser vorher immer zusätzlich der Namensdienstes zur Auflösung der IP-Adresse konsultiert. Das gleiche gilt auch für das Versenden oder Abrufen von E-Mails. Eine solche Verbindung wiederum besteht aus mehreren einzelnen Datenpaketen, die bidirektional ausgetauscht werden. Ein Paketfilter, der Stateful Inspection (zustandsgesteuerte oder dynamische Paketfilterung) beherrscht, kann ein Datenpaket nach dem Kriterium durchlassen, ob dieses Teil einer bereits bestehenden Verbindung – das heißt die Antwort auf ein vorangegangenes erlaubtes Datenpaket – ist. Man sagt, die Filterung wird durch den Zustand (bestehend oder nicht-bestehend) der Verbindung gesteuert. Daher rührt die Bezeichnung „zustandsgesteuerte Paketfilterung“. Eine von mehreren Möglichkeiten, diese Funktion zu implementieren, besteht darin, dass der Paketfilter, wenn er ein ausgehendes Datenpaket gemäß der vom Benutzer vorgegebenen Regel durchlässt, eine neue Regel generiert, die ein Paket, das die Eigenschaften einer zu erwartenden Antwort besitzt, ebenfalls erlaubt. Da diese Regel nicht starr vorgegeben ist, sondern vom Paketfilter dynamisch erzeugt wird, spricht man auch von „dynamischer Paketfilterung“.
Eine wichtige Funktion ist die Protokollierung des Vorgehens des Paketfilters in einer Datei, dem so genannten Logfile (kurz: Log). So ist es möglich, Fehler bei der Netzkonfiguration zu erkennen.
Einige Personal Firewalls bieten einen Stealth-Modus (von engl. stealth „Heimlichkeit“) an. Bei diesem Modus werden Anfragen auf ungenutzten Ports unbeantwortet verworfen. Normalerweise würde in einem solchen Fall eine Antwort erfolgen, dass der Rechner erreichbar, der Port jedoch nicht belegt ist. Durch das Ausbleiben der Antwort soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als „Security through Obscurity“ (Sicherheit durch Verschleierung).
Viele Personal Firewalls prüfen selbstständig, ob der Hersteller eine aktuellere Version der Firewallsoftware im Netz bereitgestellt hat, laden diese gegebenenfalls herunter und installieren sie. Diesen Vorgang nennt man „Automatisches Update“, er gewährleistet eine zeitnahe Aktualisierung der Firewallsoftware, wenn diese von Sicherheitslücken betroffen sein sollte.
Ein Fernwartungszugang kann zur Administration einer Personal Firewall auf einem Endgerät im Netzwerk durch den Netzadministrator dienen.
Abgrenzung zur Firewall
Eine allgemeingültige Terminologie zum Thema gibt es nicht. Die Begriffe werden unterschiedlich, manchmal sogar widersprüchlich benutzt.
In der zweiten Auflage eines Klassikers zum Thema Firewall wird unter dem Titel „Personal-Firewall“ die Absicherung eines einzelnen Rechners mithilfe des Paketfilters ipchains beschrieben (Lit.: Cheswick 2004, S. 226). Diese Personal-Firewall wird dort von der Gateway-Firewall abgegrenzt. Letztere befindet sich als Schnittstelle zwischen zwei Computernetzen und wird im Rest des Buches „Firewall“ genannt. Eine Personal Firewall ist dagegen auf dem zu schützenden Host installiert.
Manchmal wird die mit der Installation auf dem zu schützenden Host verbundene Möglichkeit, anwendungsspezifisch zu filtern, als zwingendes Merkmal einer Personal Firewall gesehen. Eine andere Sichtweise ist, dass es sich bei einer Personal Firewall um einen Paketfilter handelt, der mit dem Benutzer interagiert. Nicht selten wird die Personal Firewall als eine Ansammlung verschiedener Sicherheitsfunktionen in einem Softwarepaket gesehen. Software, die über die im Abschnitt weitere Funktionen erwähnten Funktionen hinausgehend Viren-, Spywarescanner oder Spamfilter enthält, wird meist nicht als Personal Firewall sondern als „Security Suite“ bezeichnet.
Häufig geben Hersteller ihrer Paketfiltersoftware oder deren Konfigurationstools den Namen „Firewall“. Beispiele dafür sind die Windows Firewall, die SuSEfirewall oder die IPFirewall (ipfw) von FreeBSD. In Handbüchern von Personal Firewalls und Computerzeitschriften werden die Bezeichnungen Firewall und Personal Firewall häufig synonym eingesetzt. Bei Heimanwendern haben sich die Begriffe Hardware-Firewall und Software-Firewall eingebürgert. Hardware-Firewall bezeichnet ein externes Gerät, Software-Firewall ist ein Synonym für Personal Firewall.
Viele Netzadministratoren lehnen diese Bezeichnungen ab: Auch auf einem externen Router läuft Software. Statt zwischen Hard- und Software-Firewall solle man zwischen Routern mit Paketfilterfunktion und hostbasierten Paketfiltern (HBPF) unterscheiden. Alle der oben genannten Produkte würden – nach Meinung vieler Netzadministratoren – nicht der Bezeichnung Firewall gerecht. Eine Firewall sei ein sorgfältig geplantes und ständig gewartetes System zur Trennung von Netzbereichen. „Eine Firewall ist ein Konzept“, heißt es, „und keine Software, die man sich einfach installieren kann.“. Die Umsetzung eines solchen Firewallkonzepts – die (physische) Firewall – ist standortspezifisch und besteht nur selten aus einer einzigen Komponente.
Elisabeth D. Zwicky (Literatur: 2001, S. 34) schreibt: „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“
Zur Abgrenzung der einzelnen Wikipedia-Artikel zum Thema siehe: Firewall
Personal Firewall als Schutzmaßnahme
Personal Firewalls bilden oftmals einen Teil der Absicherung privater PCs mit Internetzugang. Ihr Einsatz wird unter anderem von Microsoft und in einigen Publikationen des Heise-Verlags empfohlen. Der Verlag und Microsofts TechNet Magazine haben in 2006 veröffentlichten Texten aber auch darauf hingewiesen, dass eine PFW als Schutz vor Angriffen von Innen nur gegen Schädlinge hilft, die sich keine Mühe geben, sich zu verstecken.[1][2] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Personal Firewall als empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet.[3] Das Amt warnt aber davor, sich auf eine PFW als alleinige Schutzmaßnahme zu verlassen. Wichtiger sind nach Angaben des BSI Viren- und Spywarescanner, regelmäßige Datensicherung (Backup), baldiges Aktualisieren (Update) der eingesetzten Software nach Bekanntwerden einer Sicherheitslücke, möglichst sichere Konfiguration von Webbrowser, E-Mail-Programm und Betriebssystem und generell ein vorsichtiger Umgang mit dem Internet.[4] Eine eindeutige Aussage, ob eine Personal Firewall auf dem PC eines Privatanwenders für sinnvoll gehalten wird, trifft das BSI demnach nicht.
Auf Kritik stieß der Einsatz von Personal Firewalls von Anfang an in der Newsgroup de.comp.security (heute de.comp.security.firewall). Sicherheitslücken werden durch nicht vertrauenswürdige oder fehlerhafte Software verursacht, oder durch deren unsachgemäße Konfiguration. Es sei der falsche Weg, diesem Sicherheitsproblem durch Hinzufügen zusätzlicher Software zu begegnen, die ebenfalls fehlerhaft oder fehlkonfiguriert sein könne. Personal Firewalls würden die Komplexität des Gesamtsystems und somit dessen Angriffsfläche erhöhen.
Manchmal fällt im Zusammenhang mit Firewalls das Schlagwort „Risikokompensation“. Dahinter steckt die Annahme, Computeranwender würden sich leichtsinniger verhalten, wenn auf dem PC Sicherheitssoftware installiert ist.
Das kritische FAQ der Newsgroup de.comp.security.firewall (siehe Weblinks) gesteht Personal Firewalls zu, dass man deren Logs benutzen kann, um mehr über den durch den eigenen Rechner initiierten Netzverkehr zu lernen. Ein genaues Verständnis der Vorgänge setzt Kenntnisse über die Internetprotokollfamilie voraus.
Schutz vor Angriffen von außen
Personal Firewalls können vor einigen automatisierten Angriffen schützen. So kann man beispielsweise den Sasser-Wurm mit den meisten Personal Firewalls erfolgreich abwehren. Viele solcher Angriffe lassen sich ohne Firewall durch eine restriktive Netzwerkkonfiguration abwehren, zum Beispiel indem ungenutzte Dienste abgeschaltet werden. Eine Personal Firewall kann aber den unerwünschten Zugriff auf Dienste filtern, die der Benutzer nicht beenden kann oder möchte oder von denen er gar nicht bemerkt hat, dass sie laufen.
Personal Firewalls bestehen aus Software, die auch fehlerhaft sein kann. Manchmal werden Schwachstellen in Personal Firewalls bekannt, die es erst ermöglichen, zu schützende Systeme über das Netz anzugreifen. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von BlackICE und RealSecure Opfer des Witty-Wurms.
Schutz vor Angriffen von innen
Häufig gelangt Schadsoftware als Trojanisches Pferd auf den Rechner. Sie wird vom Benutzer, der von der Schädlichkeit des Programms nichts ahnt, ausgeführt. Es zählt nicht zu den Aufgaben einer Personal Firewall, vor dem Ausführen eines Trojanischen Pferdes zu schützen.
Wenn die Schadsoftware mit eingeschränkten Benutzerrechten ausgeführt wird, kann eine PFW oft verhindern, dass die Malware eine Hintertür (engl. Backdoor) auf dem System einrichtet. Erfahrene Benutzer können aus den Logmeldungen der Personal Firewall den Versuch, eine Backdoor einzurichten, erkennen. Meist kann jedoch nicht mit Sicherheit gesagt werden, ob die von der Personal Firewall vereitelte Aktion die einzige Funktion der Schadsoftware ist oder ob weitere unbemerkte Manipulationen am Betriebssystem vorgenommen wurden. In diesem Fall gilt das System als kompromittiert. Ein solches kann auch durch eine Personal Firewall nicht mehr gesichert werden.
Personal Firewalls, die ausgehende Verbindungen kontrollieren, konnten in der Vergangenheit bestimmte E-Mail-Würmer, die ihren eigenen SMTP-Client mitbrachten, an der Verbreitung hindern. Einige E-Mail-Würmer versuchen daher, die Personal Firewall zu beenden. Ob dies gelingt, hängt stark von der eingesetzten Firewallsoftware ab.
Häufig werden Personal Firewalls dazu eingesetzt, Spyware zu erkennen, die noch nicht in der Datenbank eines Spywarescanners enthalten ist. Verlangt ein unbekannter Prozess nach einer Verbindung mit dem Internet, ist diesbezüglich ein Verdacht gegeben, dessen Prüfung unerfahrenen Anwendern jedoch oft schwer fällt. So werden häufig Programme für Spyware gehalten, die lediglich nach Updates suchen. Umgekehrt tarnt sich Schadsoftware oft als nützlicher Systemprozess.
Ein technisches Problem ist, dass es zahlreiche Möglichkeiten gibt, die Filterung ausgehender Verbindungen zu umgehen: Die Paketfilterung kann genauso wie bei externen Paketfiltern über getunnelte Verbindungen umgangen werden. Die Anwendungskontrolle kann umgangen werden, indem ein von der PFW als vertrauenswürdig eingestuftes Programm zur Herstellung der Verbindung herangezogen wird. So demonstrierte beispielsweise der Chaos Computer Club Ulm in einem Vortrag über Personal Firewalls eine Methode, den Browser aufzurufen und Informationen nach außen zu senden, die von keiner der getesteten PFWs erkannt oder verhindert werden konnte (siehe Weblinks).
Stealth-Modus
Kritisch wird der von manchen Firewall-Produkten angebotene Stealth-Modus (siehe weitere Funktionen) gesehen. Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“ antwortet, weiß ein Angreifer jedoch, dass der Rechner existiert. Ein Portscanner kann das Problem, dass es bei Anfragen zu einer Zeitüberschreitung (engl. Timeout) kommt, umgehen: Er sendet die Anfragen parallel und sammelt alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als „gefiltert“ angezeigt. Der Portscan wird ausgebremst, aber nicht verhindert.
Reguläre Programme können durch diese Strategie behindert werden. Dies gilt beispielsweise für Internet-Anwendungen, die den Authentifizierungsdienst (auch „auth-service“ oder „ident“ genannt) nutzen. Manche Server bauen im Rahmen des Anmeldevorgangs eine Verbindung zum TCP-Port 113, dem auth-service des Client-Computers auf. Man spricht von einer Ident-Anfrage. Diese dient Administratoren von Mehrbenutzersystemen dazu, festzustellen, welcher Benutzer den Service verwendet hat. Heimanwender benötigen den Authentifizierungsdienst nicht. Wird die Ident-Anfrage jedoch nicht zurückgesetzt, sondern kommt es auf Grund der Firewall zu einer Zeitüberschreitung der Anfrage, kann dies zu Problemen bei der Anmeldung bei Mail-, Web-, FTP-, oder IRC-Servern führen.
Einige Personal Firewalls filtern im Stealth-Modus alle eingehenden Meldungen des „Internet Control Message Protocols“ (ICMP). Besonders der Meldungstyp 3 „Destination Unreachable“ transportiert jedoch wichtige Fehler- und Kontrollnachrichten für gewollte Internetverbindungen. Dazu gehört beispielsweise die Ermittlung der maximalen Paketgröße (MTU für Maximum Transmission Unit), die über ein Netzwerk übertragen werden kann. Wird ICMP gefiltert, kann es zu unerwarteten Netzproblemen kommen. Wenn zum Beispiel Websites von Google Groups oder eBay nicht angesurft werden können, während andere Websites problemlos funktionieren, deutet dies auf MTU-Probleme hin.
Interessanterweise kann die Strategie, eingehende Anfragen nicht zu beantworten, zu höherem Datenverkehr führen. Viele Anwendungen stellen die Anfrage nämlich erneut, wenn sie keine Antwort oder Fehlermeldung erhalten.
Konfiguration
Die Schutzwirkung, die sich mithilfe einer Personal Firewall erzielen lässt, hängt zu einem hohen Grad von deren sachgemäßen Konfiguration ab.
Die Grundeinstellungen eignen sich häufig nicht für den vom Benutzer gewünschten Einsatzzweck. So stellt beispielsweise ein Fernwartungszugang, wie er von Kerio 2 in der Standardkonfiguration angeboten wird, beim Einsatz der Personal Firewall auf einem Einzelplatzrechner mit Internetzugang nur ein unnötiges Risiko dar.
Die meisten, aber keineswegs alle Produkte blockieren in den Grundeinstellungen den Zugriff von außen auf die vom Rechner angebotenen Netzwerkdienste. Bei der Tiny Personal Firewall muss diese Paketfilterfunktion erst vom Benutzer aktiviert werden, wenn sie benötigt wird.
Mithilfe der Rechtetrennung des Betriebssystems lässt sich die Schutzwirkung einer Desktop Firewall erhöhen. Wird zum Surfen im Internet ein eingeschränktes Benutzerkonto verwendet, läuft Schadsoftware, die dabei unbeabsichtigt ausgeführt wird, ebenfalls nur mit eingeschränkten Rechten und kann die Konfiguration der Personal Firewall nicht manipulieren.
Viele Hersteller raten vom Betrieb von mehr als einer Personal Firewall auf einem Rechner ab, da sich diese gegenseitig behindern können, und daher die Schutzwirkung verloren geht. Setzt man eine andere Personal Firewall ein, empfiehlt Microsoft, die bei Windows XP Service Pack 2 mitgelieferte Windows Firewall zu deaktivieren.
Bei der Konfiguration einer Personal Firewall kann man nach verschiedenen Grundhaltungen vorgehen: „Erlaubt ist alles, was nicht ausdrücklich verboten ist“ und „Verboten ist alles, was nicht ausdrücklich erlaubt ist“. Letztere Grundhaltung gilt als sicherer, ist aber schwieriger zu konfigurieren.
Für unerfahrene Benutzer wirkt es oft verwirrend, wenn für unbekannte Prozesse nach einer Regel verlangt wird. Manche dieser Prozesse gehören zum Betriebssystem und sind für Internetverbindungen notwendig. Bei der Definition der Regeln nach der zuletzt genannten Grundhaltung werden zunächst so wenige Prozesse wie möglich freigegeben. Funktioniert danach eine Software nicht mehr wie erwartet, so kann das Log nach gesperrten Verbindungen durchsucht werden, um den zu der behinderten Software gehörenden Prozess freizugeben. Bei unbekannten Prozessen empfiehlt es sich, nach weiteren Informationen zu forschen, um zu klären, wozu dieser Prozess gehört.
Personal-Firewall-Software
Windows Firewall
| Windows Firewall | |
|---|---|
| Basisdaten
| |
| Entwickler | Microsoft |
| Betriebssystem | Windows XP SP2, Server 2003 SP1 |
| Kategorie | Personal Firewall |
| Lizenz | Proprietär |
| deutschsprachig | ja |
| www.microsoft.com | |
Die Windows Firewall ist Bestandteil von Windows XP. Sie wird bei der Installation des Service Packs 2 oder bei der Windowsinstallation von einem Datenträger mit integriertem (engl.: slipstreamed) Service Pack 2 automatisch aktiviert. Sie verwirft eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste anbieten, bei Benutzern, die über Administratorrechte verfügen, nach, ob eingehende Verbindungen zu den von diesen Programmen geöffneten Ports erlaubt werden sollen. Sie kann über das Sicherheitscenter – der ebenfalls mit Service Pack 2 hinzugekommenen zentralen Verwaltungsstelle für Personal Firewalls und Virenscanner – oder über die Datei Namens NETFW.INF konfiguriert werden. Dort kann man in zwei Profilen Ausnahmelisten für bestimmte Ports und Programme erstellen. Nach außen gerichtete Verbindungen kontrolliert die Windows Firewall nicht.
Im Gegensatz zu Windows 98 bringen die Betriebssysteme Windows NT4 und Windows 2000 bordeigene Möglichkeiten der Paketfilterung mit. Einerseits stellt IPsec eine Möglichkeit zur regelsatzbasierten Paketfilterung dar, andererseits können in den Eigenschaften der Netzwerkverbindung Filter für eingehende Verbindungen auf bestimmte Ports definiert werden.
Mit Windows XP bis inklusive Service Pack 1 wird anstelle dieses einfachen Portfilters die Internet Connection Firewall (ICF) mitgeliefert. Sie kann für einzelne Netzwerkinterfaces aktiviert werden und prüft eingehende Datenpakete dahingehend, ob diese zuvor angefordert worden sind. In der Standardkonfiguration ist die ICF nicht aktiviert. Dies hatte zur Folge dass viele nicht rechtzeitig gepatchte Windows XP Rechner den Internetwürmern Blaster und Sasser zum Opfer fielen.
Mit dem Service Pack 2 für Windows XP kamen weitere Sicherheitsfunktionen hinzu: Das Sicherheitscenter wurde eingeführt. Die Funktionen der Firewall wurde erweitert und sie wurde in Windows Firewall umbenannt. In der Standardkonfiguration von Windows XP SP2 ist die Windows Firewall bereits aktiviert. Anfänglich beeinträchtigte ein Programmierfehler die zuverlässige Funktion der Windows Firewall. Dieser wurde kurz nach Erscheinen des Service Pack 2 in einem Sicherheitsupdate vom 14. Dezember 2004 beseitigt.
In der kommenden Windows-Version (Vista) soll die Funktion der Firewall erneut erweitert werden: Sie soll ausgehende Verbindungen filtern können. Außerdem sollen die bisher von der Windows Firewall unabhängigen IPsec Richtlinien integriert werden und sie soll über einen Fernwartungszugang verfügen.
ZoneAlarm
| Zone Alarm | |
|---|---|
| Basisdaten
| |
| Entwickler | ZoneLabs |
| Aktuelle Version | 6.5.725.000 (2006) |
| Betriebssystem | Windows |
| Kategorie | Personal Firewall |
| Lizenz | Proprietär |
| deutschsprachig | ja |
| www.zonelabs.com | |
Von ZoneAlarm gibt es eine für Privatanwender kostenlose Version und die kommerzielle Version ZoneAlarm Pro, die einen größeren Funktionsumfang bietet. Der Name kommt daher, dass die Personal Firewall getrennte Sicherheitseinstellungen für zwei verschiedene Zonen – eine für das lokale Netz und eine für das Internet – erlaubt. Der Hersteller gibt die Betriebssysteme Windows 98SE, ME, Windows 2000 Professional oder Windows XP und einen Pentium III Prozessor mit 450 MHz oder höher als Systemanforderungen an. Der Schwerpunkt des Produkts liegt auf einfacher Installation und Konfiguration.
Der Hersteller der Desktop-Firewall, die Firma Zone Labs mit Sitz in San Franzisko, wurde 1997 gegründet. Anfang 2004 wurde sie für um die 205 Millionen Dollar von der Firma Check Point, einem bekannten Hersteller von Firewall- und VPN-Produkten, aufgekauft.
Im Januar 2006 geriet ZoneAlarm in Verdacht, verschlüsselt Daten an den Hersteller zu versenden.[1] Laut Hersteller soll dies ein Programmfehler gewesen sein, der mit der Version 6.1.744 vom 1. März 2006 ausgeräumt worden sein soll.
Sunbelt Kerio Personal Firewall
| Sunbelt Kerio Personal Firewall | |
|---|---|
| Basisdaten
| |
| Entwickler | Sunbelt Software |
| Aktuelle Version | 4.3.268 (2006) |
| Betriebssystem | Windows 2000 Pro, XP |
| Kategorie | Personal Firewall |
| Lizenz | Proprietär |
| deutschsprachig | ja |
| www.sunbelt-software.com | |
Die Sunbelt Kerio Personal Firewall (SKPF) läuft auf Windows XP und Windows 2000 Professional. Die Betriebssysteme Windows 98 und ME werden seit Version 4.2 nicht mehr unterstützt. Die Desktop Firewall kann nach Registrierung mit Name und E-Mail-Adresse bei der Firma Sunbelt heruntergeladen werden. Nach der Installation erhält man zunächst eine Vollversion, die 30 Tage getestet werden darf. Danach kann die Software entweder käuflich erworben werden oder als limitierte Edition weiter genutzt werden. In der kostenlosen Version fehlen Content Filter, hostbasiertes IDS, Fernwartungszugang sowie die Möglichkeit, die Firewall auf einem Router einzusetzen.
Die Firewall entstammt der Tiny Personal Firewall. Die Firma Kerio Technologies Inc. erwarb die Rechte an dem Produkt, entwickelte es weiter und veröffentlichte im März 2002 die endgültige Version 2.1 unter dem Namen Kerio Personal Firewall. Die Software war Freeware. Mit Version 4 wurde 2003 der Funktionsumfang von Kerio stark erweitert und eine kommerzielle Version eingeführt. Im September 2005 stellte Kerio die Entwicklung des Produkts ein. Kerio-Mitarbeiter begründeten dies im Produkt-Forum damit, dass die Firewall nicht profitabel sei. Ein Firmensprecher erklärte, man wolle sich auf die Entwicklung des Kerio-MailServers und der WinRoute Firewalls konzentrieren. Im Dezember 2005 wurde die Kerio Personal Firewall von der Firma Sunbelt Software übernommen und ist seither unter dem Namen Sunbelt Kerio Personal Firewall erhältlich. Da Firmengründer Stu Sjouwerman Mitglied bei Scientology sein soll, stieß die Übernahme bei einigen Anwendern auf Skepsis, und sorgte in Webforen für rege Diskussionen.
Norton Personal Firewall
| Norton Personal Firewall | |
|---|---|
| Basisdaten
| |
| Entwickler | Symantec Corporation |
| Aktuelle Version | 2006 (2006) |
| Betriebssystem | Windows |
| Kategorie | Personal Firewall |
| Lizenz | Proprietär |
| deutschsprachig | ja |
| www.symantec.de | |
Die Norton Personal Firewall ist Bestandteil des kommerziellen Softwarepakets Norton Internet Security. Dieses enthält neben der Desktop-Firewall ein Antivirenprogramm und einen Spamfilter. Versionen existieren für die Betriebssysteme Windows 2000 SP3 und XP (Norton Personal Firewall 2006), für Windows 98 und ME (Norton Personal Firewall 2005) sowie für Mac OS 9 und OS X (Norton Personal Firewall 3.0. for Macintosh).
Historischer Vorläufer der Norton Personal Firewall ist die Personal Firewall AtGuard von WRQ, die als Freeware zur Verfügung stand. Symantec kaufte 1999 AtGuard von WRQ. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf den Hersteller des Norton Commanders, die Firma Peter Norton Computing, zurück, die 1990 von Symantec gekauft wurde.
Im Usenet berichten Anwender, dass die Software viele Ressourcen benötigt. Auch von Schwierigkeiten bei der Deinstallation und von Kompatibilitätsproblemen mit anderen Programmen wird häufig berichtet.
AtGuard
| AtGuard | |
|---|---|
| Basisdaten
| |
| Entwickler | WRQ, Inc. |
| Aktuelle Version | 3.2 (1999) |
| Betriebssystem | Windows |
| Kategorie | Personal Firewall |
| Lizenz | Freeware |
| deutschsprachig | ja |
| Anleitung zu AtGuard | |
AtGuard ist eine seit 1999 offiziell nichtmehr erhältliche Firewall, deren Technologie nach dem Kauf durch Symantec in deren Norton Personal Firewall eingeflossen ist. AtGuard bietet dem Anwender neben einem durch dialoggeführte Regelerstellung selbstlernenden TCP/IP-Filter, der sich auf Anwendung, Port und Zieladresse abstimmen lässt zusätzliche Werbe- und Cookie-Filter für das Browsen im World Wide Web. Außerdem lassen sich aktive Inhalte wie Scripting, Java und ActiveX domänenspezifisch unterbinden.
Die Anwendung von AtGuard setzt wegen der vielen Feineinstellungsmöglichkeiten Grundkenntnisse im TCP/IP-Protokoll und eine gewisse Einarbeitungszeit voraus, bietet aber richtig konfiguriert einen wirksamen Schutz vor Werbung, unerwünschten Eindringlingen und nach Hause telefonierenden Programmen.
Obwohl die Rechte durch den Aufkauf nunmehr bei Symantec liegen, finden sich im Netz noch vereinzelt Downloadmöglichkeiten für die anfangs kostenlose Software.
Ungeachtet der Tatsache, dass die Software seit einigen Jahren nichtmehr aktualisiert wurde, ziehen immer noch einige Puristen das veraltete AtGuard aktuelleren Firewalls wie ZoneAlarm oder Sygate Personal Firewall vor.
Das Forschungszentrum Jülich hat eine umfangreiche Anleitung zu AtGuard erstellt: Sicher im Netz - Erfahrungen mit @Guard (.zip-Datei, 505 kB, Stand: November 1999).
Weitere bekannte Personal Firewalls
- Bitdefender Security Firewall
- F-Secure Internet Security
- Kaspersky Anti-Hacker
- Norman Personal Firewall
- Outpost
- Sygate Personal Firewall (Nach der Übernahme durch Symantec wurden Support und Weiterentwicklung der Sygate Personal Firewall am 30. November 2005 eingestellt.)
- Tiny Personal Firewall
Linux und andere Unix-ähnliche Betriebssysteme
Ein Computer, auf dem UNIX oder ein Unix-Derivat als Betriebssystem eingesetzt wird, lässt sich ebenfalls durch einen hostbasierten Paketfilter absichern. Viele für Personal Firewalls typische Funktionen lassen sich mit Software hervorrufen, die für UNIX erhältlich ist.
FreeBSD bringt mit dem Skript rc.firewall einen vorgefertigten Regelsatz für den Paketfilter IPFirewall (ipfw) mit. Für den Schutz eines Einzelplatzrechners mit Internetzugang kann das rc.firewall-Skript mit der Option „client“ aufgerufen werden. Im Benutzerhandbuch des Betriebssystems findet man Beispielkonfigurationen für den hostbasierten Einsatz der Paketfilteralternativen IPFilter (ipf) und pf. Benutzer, die Konfigurationswerkzeuge mit grafischer Bedienoberfläche bevorzugen, finden einige wenige Programme in den Ports: Die Qt-Firewall (qtfw) ist ein Frontend für die IPFirewall.
Mac OS X enthält ebenfalls den Paketfilter IPFirewall (ipfw). Bekannte grafische Frontends für diesen Paketfilter unter OS X sind die Shareware-Programme BrickHouse von Brian Hill und Firewalk der Firma Pliris LLC. Seit Mac OS X 10.2 (Jaguar) ist ein grafisches Frontend für ipfw im Betriebssystem enthalten. Das kommerzielle Programm Little Snitch hat sich auf das anwendungsbasierte Filtern ausgehender Verbindungen spezialisiert – jene Funktion, die ipfw nicht bietet. Little Snitch kann interaktiv über Dialogfenster konfiguriert werden. Diese Fenster erscheinen und informieren den Benutzer, wenn eine Anwendung eine Verbindung ins Internet herstellt. (siehe Lernmodus)
Der in Linux enthaltene Paketfilter netfilter beherrscht anwendungsbasiertes Filtern. Das textbasierte Standard-Frontend für netfilter heißt iptables. Als grafisches Frontend für netfilter gibt es Programme wie KMyFirewall und Guarddog für KDE und Firestarter für den GNOME-Desktop. Firestarter ist übersichtlich und einfach zu bedienen, erlaubt aber dennoch umfangreiche Einstellmöglichkeiten, wie das Filtern bestimmter ICMP-Typen, oder das Zurückweisen von Paketen mit einer Fehlermeldung. Anwender können selbst Module schreiben, um das Programm zu erweitern. Viele Linux-Distributionen bringen eigene Werkzeuge zur Einrichtung des Paketfilters mit: Die SuSEfirewall beispielsweise ist eine Skriptsammlung für iptables. Sie kann mit dem grafischen Installations- und Konfigurationswerkzeug YaST (Yet another Setup Tool) eingerichtet werden.
Die Personal Firewall TuxGuardian beruht auf den Möglichkeiten des Linux-Kernels 2.6.10. TuxGuardian erlaubt Anwendungskontrolle und kann mit dem Benutzer über Dialogfenster interagieren.
Fireflier ist ebenfalls eine Personal Firewall, die sowohl detailliert interaktiv konfiguriert werden kann, als auch eine mit IP-Adressen und -Ports kombinierte Anwendungskontrolle erlaubt. Sie stellt sowohl für KDE wie GNOME ein Clientprogramm zur Verfügung. Mit der Oberfläche kann man individuelle iptables-Regeln festlegen, inklusive Stateful Inspection.
Der grafische Regelgenerator Firewall Builder (Fwbuilder) läuft auf mehreren Betriebssystemen und unterstützt verschiedene Paketfilter. Obwohl Firewall Builder vorwiegend für den professionellen Einsatz gedacht ist, existieren Anleitungen (HowTos) zum Einrichten einer Personal Firewall mithilfe dieses Programms. Zur Protokollierung kommt unter unixoiden Betriebssystemen meist syslog zum Einsatz. Die meisten Syslog-Implementierungen können über Unix Domain Sockets kommunizieren, wenn sie lokale Logfiles anlegen. Ein beliebtes Intrusion Detection System ist Snort. In eine Sandbox lassen sich Anwendungen, die für eine Kompromittierung anfällig sind, mithilfe von chroot oder jails sperren. Anwendungskontrolle ist mithilfe von Systrace möglich. Dieses Programm ist Bestandteil von NetBSD, OpenBSD und OpenDarwin. Es wurde auf Linux und Mac OS X portiert. Als Content-Filter lassen sich der Web-Cache-Proxy Squid in Verbindung mit SquidGuard oder DansGuardian einsetzen.
Open-Source-Software für Windows
Während es sich bei der hier besprochenen Software für Linux um quelloffene und meist freie Software handelt, dominieren unter Windows Closed-Source-Programme von kommerziellen Anbietern. Es sind jedoch auch einige Open-Source-Projekte für Windows entstanden:
Die iSafer Winsock Firewall, eine einfache Personal Firewall, steht unter der GNU General Public License (GPL). PeerGuardian ist ebenfalls unter der GPL lizenziert. PeerGuardian wurde mit dem Ziel entwickelt, Spyware in Peer-to-Peer-Programmen zu blockieren. Version 1 wurde – für Firewallsoftware ungewöhnlich – in Visual Basic programmiert. PeerGardian 2 ist in C und C++ geschrieben und wurde auch auf unixoide Betriebssysteme portiert. Die Personal Firewall CORE FORCE ist ein Community-Projekt der Firma Core Security Technologies. Die erste öffentliche Beta-Version der Software wurde im Oktober 2005 unter der Apache-Lizenz Version 2.0 zum Download freigegeben. CORE FORCE beruht auf dem von OpenBSD stammenden Paketfilter pf.
Der unter UNIX übliche Ansatz, eine Personal Firewall aus Einzelkomponenten zusammenzusetzen, ist auch unter Windows möglich. Auch für Windows existiert reine Paktefiltersoftware: WIPFW ist ein Port der FreeBSD IPFW für Windows. PktFilter, ein Produkt des französischen IT-Sicherheits-Unternehmens „Hervé Schauer Consultants“, ist unter der BSD-Lizenz erhältlich und verwendet eine Syntax, die IPFilter ähnlich ist.
Anstelle von Filterung auf Anwendungsebene können beispielsweise Webbrowser verwendet werden, für die Pop-Up-Blocker existieren.
Literatur
- Cheswick, William R. / Bellovin, Steve M. / Rubin, Aviel D.: Firewalls und Sicherheit im Internet. Addison-Wesley Verlag, München 2004, ISBN 3-8273-2117-4
- YEO, Lisa: Personal Firewalls for Administrators and Remote Users. Prentice Hall PTR, New Jersey 2003, ISBN 0-13-046222-5
- Zwicky / Cooper / Chapman: Einrichten von Internet Firewalls. O'Reilly Verlag, Köln 2001, ISBN 3-89721-169-6
Quellen
- ↑ a b Jürgen Schmidt: ZoneAlarm im Kreuzfeuer auf Heise online, 24.01.2006
- ↑ Jesper Johansson, Steve Riley: Deconstructing Common Security Myths In: TechNet Magazine Mai/Juni 2006
- ↑ Bundesamt für Sicherheit in der Informationstechnik: Wer braucht welchen Schutz? auf der Seite "BSI für Bürger", 2006
- ↑ Bundesamt für Sicherheit in der Informationstechnik: Technische Schutzmaßnahmen auf der Seite "BSI für Bürger", 2006
Weblinks
- BSI über Personal Firewalls
- Lücken von Personal Firewalls
- de.comp.security.firewall-FAQ
- Reviews von Personal-Firewall-Produkten (engl.)
- Vortrag des CCC Ulm über Personal Firewalls (Video- und Audio-Aufzeichnung, Folien, Quellcode, Dokumentation)
