Firewall
Aus AliceWiki
Inhaltsverzeichnis |
Allgemein
Eine Firewall (engl. = Brandmauer) sollte heutzutage neben einer aktuellen AntiViren Software zur Grundausstattung jedes mit dem Internet verbundenen Computers gehören.
Sie steht zwischen zwei Netzen wie die Brandmauer zwischen zwei Häusern und kontrolliert, bzw. blockiert den Datenverkehr zwischen diesen Netzen. Im privaten oder Small Buisness Bereich sind das normalerweise das eigene LAN auf der einen und das Internet auf der anderen Seite, man kann aber auch verschiedene eigene Netzabschnitte durch Firewalls voneinander trennen.
Um bei dem Bild mit dem Haus zu bleiben kann man sich das Haus als das eigene Netz vorstellen, die Straße davor ist dann das Internet. Sobald eine Verbindung zum Internet aufgebaut wird öffnet sich nicht nur die Tür, sondern (bildlich gesprochen) auch eine mehr oder weniger große Anzahl an Fenstern. Diese Fenster sind die Ports die für die Kommunikation mit verschiedenen Systemen notwendig sind. Der Port 80 ist z.B. für http, also die normale Internetverbindung, Port 25 für den E-Mail Versand und Port 110 für den Zugriff auf ein POP3 Postfach zuständig. Insgesamt gibt es 65535 verschiedene Ports. Alle offenen Ports (= Fenster) sind dann aus dem Internet (= Straße) sichtbar und können gegebenenfalls auch für einen unberechtigten Zugriff genutzt werden. Bekannte Beispiele aus den Letzten Jahren sind die Würmer Sasser und Blaster die schon nach einer Verbindung von weniger als 3 Minuten (die ja für die T-online Aktivierung notwendig ist) auf dem Rechner waren und diesen dann zu einem beliebigen Zeitpunkt einfach heruntergefahren haben sofern der Rechner nicht durch eine Firewall geschützt war. Die Firewall steht jetzt zwischen der Straße und dem Haus, die Fenster sind also idealerweise von dort gar nicht mehr sichtbar. Und wenn keiner weiß dass da ein Fenster offen ist ist auch die Wahrscheinlichkeit geringen dass jemand durch dieses Fenster in das Haus einsteigt. Bei einer gut konfigurierten Firewall ist noch nicht einmal das Haus dahinter sichtbar, idealerweise sogar nicht einmal die Firewall. Die Firewall läßt in diesem Fall weder bei einem Ping noch bei sonst einer Anfrage von außen eine Antwort raus.
Das Haus ist dann mitsamt der Mauer vom Internet aus unsichtbar, nur wenn Daten angefordert werden, z.B. man eine Internetseite aufgerufen hat erden diese Daten von der Firewall weitergeleitet.
Zurzeit ist folgende Konfiguration der Mindeststandard: Zugriff bzw. Datenverkehr aus dem LAN auf das Internet ja, Datenverkehr aus dem Internet in das LAN nur wenn diese Daten von einem Rechner in diesem LAN angefordert wurden. Der eingehende Traffic wird also kontrolliert, der ausgehende nicht. Nach diesem Prinzip arbeiten viele Hardware-Firewalls und leider auch einige Personal Firewalls wie z.B. die Windows Firewall die es seit Windows XP gibt. Besser ist es natürlich wenn auch der ausgehende Datenverkehr kontrolliert wird, da dann sichergestellt ist dass auch nur Anwendungen die es wirklich sollen / müssen eine Verbindung zum Internet aufbauen. Denn: Sobald sich etwas auf dem Rechner eingenistet hat (einmal in einer Mail falsch geklickt reicht ja oft schon aus) kommt die Datenanforderung ja von innen und daher die angeforderten Daten auch sauber durch die Firewall.
Aber Achtung! Wie bei jedem technischen System ist auch eine Firewall nur so gut wie ihre Konfiguration, oder andersherum: Auch die beste Firewall nutzt nichts wenn die Komponente Mensch ins Spiel kommt. Generell sollte man die Einstellungen einer Firewallnur anfassen wenn man genau weiß was man tut, und auch dann sollte man jeden Schritt genau dokumentieren. Warum das? Nun ganz einfach: Änderungen an den Einstellungen einer Firewall gehen immer in eine von zwei Richtungen. Entweder werden die Restriktionen gelockert, z.B. indem man Ports freigibt, was einem Angreifer gegebenenfalls ein Schlupfloch durch die Firewall öffnet oder man verschärft die Einstellungen was im Einzelfall dazu führen kann dass die Internetverbindung mehr oder weniger stark gestört ist oder sogar Anwendungen die nach Meinung der Entwickler unbedingt eine Internetverbindung benötigen (auch wenn man sie selbst nie genutzt hat) nicht mehr funktionieren.
So meint Windows z.B. dass die SVCHOST.exe unbedingt eine Internetverbindung benötigt. In der Firewall wird so etwas (wenn man den eine Meldung erhält) gern als Generic Host Process bezeichnet was dem Normalsterblichen natürlich alles sagt. Ist diesem Prozess der Zugriff verboten funktioniert die Einwahl weiter problemlos, auch Programme wie Chat-Clients wie ICQ laufen sauber weiter, Der MSN Messenger aber nicht, der nutzt für irgendeine Funktion diesen Prozess, und auch der Muli trabt weiter voran. Nur der Internet Explorer zeigt einem jedes Mal eine leere Seite bzw. eine Fehlermeldung. Hier sorgt also schon ein falscher Klick für jede Menge "Vergnügen".
Im allgemeinen unterscheidet man zwei Typen von Firewalls, die Hardwarefirewall und die Personal Firewalls
Hardware Firewall
Von einer Hardware Firewall spricht man im allgemeinen wenn es ein von dem laufenden System unabhängiges Gerät gibt auf dem die Firewall läuft. Das kann ein Proxy-Server sein der entweder im eigenen Netz oder extern im Internet läuft und über den die Verbindung hergestellt wird, das kann ein gesonderter Rechner sein oder, und das ist wohl für einen "normalen" Privatmenschen die häufigste Lösung, die Firewall auf einem Router.
Da die Firewall auf einem Router die häufigste Variante ist ein paar Worte dazu. Wo liegen die Vor- und Nachteile? Ein wichtiger Vorteil ist dass die Firewall auf einem vom eigentlichen Betriebssystem und den dort laufenden Programmen unabhängig läuft. Bei einem Angriff von außen ist also das eigentliche Ziel hinter dem Router versteckt und daher nicht erreichbar. Ein Angriff auf die Firewall selbst landet auf dem Router. Das ist zwar theoretisch möglich, würde dann aber nur den Router selbst betreffen der sich durch einen einfachen Druck auf den Reset-Knopf wieder zum Leben erwecken läßt. Das laufende System dahinter bleibt unbeeinträchtigt. Mir ist bisher in der Praxis kein erfolgreicher Angriff bekannt, und man dazu nach meinem Verständnis auch die Zugangsdaten für den Router benötigt... macht es wohl auch wenig Sinn, es sei den man möchte einen ganz bestimmten Rechner angreifen.
Da die Firewall nicht auf dem Rechner selbst läuft ist sie auch gegen Angriffe von "innen" gesichert.
Nachteilig ist dass in der Regel nur der eingehende Verkehr geblockt wird und es keine Prüfung der Berechtugung bestimmter Anwendungen eine Internetverbindung aufzubauen gibt. Weiter ist die Konfiguration meist recht umständlich und erfordert in jedem Fall einen Zugriff auf den Router was eine Unterbrechung der Arbeit bedeutet.
Personal Firewall
Die Personal Firewall ist eine Software Anwendung die in der Regel direkt auf dem betroffenen Rechner eingesetzt wird. Damit ist sie wie jede andere Anwendung angreifbar sobald sich Schadsoftware auf dem Rechner befindet. Nicht umsonst ist bei Antiviren Software und Firewalls der Selbstschutz mittlerweile eines der wichtigsten Bewertungskriterien. Selbstschutz bedeutet in diesem Fall Schutz vor Abschalten, Deinstallation und Änderung der Einstellung. Trotz weitgehender Verbesserungen in diesem Bereich kann es bei einer direkt auf dem betroffenen System laufenden Software keine 100%tige Sicherheit vor Angriffen geben, sobald der Angreifer Zugriff auf das Betriebssystem hat kann er auch entscheiden was wann passiert. Weiter greift die Firewall mehr oder weniger viel CPU-Leistung und Arbeitsspeicher ab, kann also sowohl die Internet-Verbindung als auch den Rechner an sich ausbremsen.
Bei der Konfiguration scheiden sich hier die Geister. Es gibt Firewalls die unzähöige Funktionen bieten und eigentlich nur Experten zugänglich sind und solche die mit relativ wenigen Einstellungen auch von einem Laien nutzbar sind. Hier fehlt dann zwar das Feintuning, aber für den normalen Hausgebrauch langt das ohne weiteres. Teilweise gibt es schon vorkonfigurierte Profile die die notwendigen Einstellungen für die am häufigsten genutzten Anwendungen enthalten.
Eine gute Personal Firewall prüft auch den ausgehenden Verkehr und gibt entsprechend Rückmeldung. Man erfährt also als Anwender welche Programme versuchen ins Internet zu kommen und kann die Firewall einfach durch Knopfdruck trainieren. Starte ich eine neue Anwendung die "meint" eine Internetverbindung zu benötigten wird sich die Firewall melden und fragen ob das den so rechtens ist.
Sage ich nein kann es passieren das einzelne Funktionen der Anwendung nicht funktionieren, in diesem Fall muss jeder für sich selbst entscheiden ob er diese Funktionen benötigt. Sage ich ja wird die Software die Verbindung wenn nötig herstellen. Bei beiden Auswahlen habe ich normalerweise noch die Möglichkeit zu entscheiden ob dies für immer gelten soll, in diesem Fall wird diese Anwendung erst nach einem Update wieder nachfragen, oder ob ich von Fall zu Fall entscheiden möchte.
Für den Laien ist es hier nicht immer einfach zu erkennen wer da anfragt (daher der Vorteil mit den Profilen), da auch oft nur kryptische Angaben gemacht werden. Meist bekommt man aber zumindest gesagt welche Anwendung bzw. Datei dahintersteckt und kann im Internet danach suchen. Wenn man unsicher ist kann man immer noch nein sagen und dann kucken was passiert. Sollte jetzt eine Anwendung mit Fehlermeldungen um sich werfen hat man meist den Übeltäter gefunden und kann dann nachträglich entscheiden ob diese Anwendung die Verbindung zum Internet benötigt.
Empfehlung
Generell ist eine Koppelung beider die ideale Lösung. Nach aussen hin schützt die Hardware Firewall und versteckt den Rechner, nach innen regelt die Personal Firewall den Zugriff einzelner Anwendungen auf das Internet.
Bei der Hardware Firewall ist die Auswahl an die gewünschte Hardware gebunden, die Funktionen sind mehr oder weniger ähnlich. Anders bei den Personal Firewalls. Hier haben wir neben kostenfreien und kostenpflichtigen Stand Alone Lösungen auch die in den großen Security Suiten verbauten Lösungen. Da diese Eier-legenden-Woll-Milch-Schweine zwar meist eine gute Antiviren Software haben, die Firewall aber trotz aller Arbeit in der Regel noch hinterherhängt ist es die Frage ob man sich für solch ein Komplettpaket entscheidet, auch wenn die einheitliche Oberfläche einem die Arbeit oft erleichtert. Man sollte hier die Testberichte genau lesen und vergleichen, denn auch mit kostenfreier Software läßt sich eine gute Antiviren softzware und eine Firewall auf den Rechner bringen die in den Tests nicht wirklich hinter den teuren Suiten zurücklagen.
