Hinweise zu Pro und Kontra Firewall - Informationen!
Von: , Frage gestellt am Di, 25. Jan 2005
Nachdem hier im Board schon hitzigste Diskussionen zum Thema abgelaufen sind, wie wäre es mit einigen Informationen?
Von meiner Webseite http://www.comsafe.de:
Firewall - Für und Wider
Das organisatorische und technische Konzept zur Trennung von Netzbereichen, sowie dessen Umsetzung und dauerhafte Pflege bezeichnet man in der Informationstechnik als Firewall (dt. Brandmauer). Vor allem bei der Verbindung von lokalen Netzwerken mit dem Internet kommt dafür entweder ein separater Rechner oder eine spezielle Hardware zum Einsatz, um die getrennten Netzbereiche genau so zu verbinden, wie es im Konzept vorgesehen ist. Diese Lösung bezeichnet man als Hardware Firewall.
Eine Personal Firewall (auch dezentrale Firewall oder Desktop-Firewall genannt) kommt auf einzelnen Arbeitsplätzen zum Einsatz und ist eine Software Lösung. Sie soll dafür sorgen, dass der Rechner keine unerwünschten Daten aus dem Internet annimmt und dass nur vom Benutzer zugelassene Programme Verbindungen ins Internet aufnehmen und Ports öffnen. Dies geschieht mittels detaillierter Filterregeln. Grundlage sollte auch hier ein Sicherheitskonzept sein, auf dem die Filterregeln basieren.
Im Folgenden wollen wir uns - soweit nicht anders angegeben - mit den Personal Firewalls (PFW) beschäftigen.
Kontra
Viele Experten raten von Personal Firewalls (PFW) ab. Ihre Gründe:
Für die sinnvolle Konfiguration einer Personal Firewall benötigt man grundlegende Kenntnisse des TCP/IP-Protokolls und ein klares Datensicherheitskonzept. Vielen Anwendern mangelt es an diesem Wissen, und auch das Sicherheitskonzept ist, wenn überhaupt vorhanden, sehr verschwommen. Die Anwender verlassen sich dann blindlings auf die Werbeaussagen der PFW Hersteller, die ihre Produkte als die "ultima ratio" für Computersicherheit darstellen. Durch die vorgegaukelte Funktionalität wiegt sich der Anwender in Sicherheit und installiert deshalb ohne Risikobewußtsein Software, die möglicherweise Malware enthält.
Der Einsatz und Betrieb einer PFW suggeriert Sicherheit. Viele PFW melden bereits nach kurzer Zeit zahlreiche geblockte Hackerangriffe und Verbindungsversuche. Dabei handelt es sich um ganz normale Vorgänge: Es wird lediglich versucht festzustellen, ob ein bestimmter Dienst auf dem PC läuft und ob dieser Daten über einen bestimmten Port entgegenzunehmen bereit ist. Viele PFW provozierten sogar einen DoS-Angriff auf den Rechner, indem sie Anfragen einfach ignorieren, statt die Anfrage mit "hier ist kein Dienst" zu beantworten.
Ohne den Einsatz weiterer Sicherheitsmaßnahmen lassen sich Personal Firewalls mit relativ wenig Mühe aushebeln, ohne dass der Benutzer davon etwas bemerkt. Im Internet existieren z. B. Javascript Programme, die Firewall Warnfenster automatisch mit "ja" beantworten - oft bemerkt der Anwender die Warnmeldung dann gar nicht. Siehe auch
http://my-forum.netfirms.com/zone/zcode.htm
Über die Möglichkeiten eine Firewall zu unterlaufen gibt es eine sehr informative Webseite von Hendrik Brummermann
http://home.arcor.de/nhb/pf-austricksen.html.
Die Regelanpassung zur Laufzeit (Lernmodus) ist besonders kritisch zu bewerten. Oft ist der Dialog im Lernmodus lästig bzw. die angezeigten Zusammenhänge zwischen Programmen und Diensten sind nicht bekannt. Spätestens nach der dritten nicht laufenden Applikation sinkt die Bereitschaft des Benutzers, sich mit den einzurichtenden Filtern genauer zu beschäftigen, und Zugriffe aufs Internet werden einfach freigegeben.
Regeln, die der Anwender selbst definieren kann, kann auch ein Wurm verändern, da PFWs meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.
Eine Firewall, die auf dem System läuft, das sie schützen soll, widerspricht der Grundidee einer Firewall, nämlich zu verhindern, dass schädigende Datenpakete bis zum zu schützenden System vordringen können. So sind eventuell bereits anfällige Komponenten, welche eigentlich geschützt werden sollen, vom Angreifer durchlaufen, bevor die Firewall überhaupt eingreifen konnte.
Durch die Installation der Firewallsoftware wird die Komplexität des zu schützenden Systems erhöht und die Fehleranfälligkeit steigt. Komplexe Firewallsoftware kann zudem die Leistung (vor allem älterer Computer) mindern.
Sicherheit kann man auch ohne PFW durch entsprechende Konfiguration des Betriebssystems und durch Entfernen unnötiger Dienste sowie durch ein entsprechendes Verhalten der Benutzer (Brainwall = "erst denken dann klicken") erreichen.
Pro
Wenn man sich allerdings der obigen Nachteile bewusst ist, kann eine Personal Firewall auch nützlich sein:
Der PC wird nach außen (ins Internet) abgeschottet. Wer die auf dieser Webseite gegebenen Sicherheitsmaßnahmen nicht umsetzt, erhält durch die PFW, mit den oben genannten Einschränkungen, Schutz vor Angriffen. Sämtliche Ports für den Zugriff aus dem Internet werden geblockt und damit automatische Infektionen aus dem Internet verhindert.
Die erfolgreiche Strategie "Es ist alles verboten, was nicht erlaubt ist" schützt vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet. Allerdings wird diese Regel vom Anwender durch Ausnahmen schnell aufgeweicht.
Zugriffe auf "vergessene" Dateifreigaben können abgefangen werden, vorausgesetzt, man hat die Dateifreigabe nicht auch in der PFW für beliebige Nutzer erlaubt.
Durch die Beschäftigung mit der Firewall und deren Meldungen lernt man einiges über den paketorientierten Datenverkehr im Internet, und wird eventuell auch im sonstigen Surf-Verhalten vorsichtiger.
Fazit
Nach Abwägung der Vor- und Nachteile kommen wir zu dem Schluß, dass Personal Firewalls sicher nicht zu den am dringenst benötigten Sicherheitsmaßnahmen gehören. Unsere Empfehlung:
Vertrauen Sie keiner Personal Firewall! Der Einsatz einer PWF kann zwar zur Kontrolle des Datenverkehrs und zur Abwehr von Angriffen aus dem Internet angezeigt sein, aber eine Firewall kann konstruktionsbedingt keinen hundertprozentigen Schutz vor Trojanern bieten. Oft vorherrschend ist die Meinung: "Ich habe doch eine Firewall installiert, was kann mir denn passieren?".
Wir empfehlen deshalb, unter Beachtung der Sicherheitsregeln auf dieser Webseite ("zehn goldene Regeln"), die Aktivierung der Firewall in Windows XP SP2. Die neue XP-Firewall blockiert standardmäßig alle von außen kommenden Verbindungsversuche. Sie schützt allerdings nur in eine Richtung, ausgehende Kommunikationsverbindungen blockiert die Firewall nicht. Ist ein Schädling erst einmal auf dem Computer, hält ihn die Firewall in der Regel nicht mehr auf.
Benutzer, die über eine DSL-Verbindung ins Internet gehen, empfehlen wir die Firewallfunktionen des Routers (Hardware Firewall) zu aktivieren. Zu beachten ist dabei allerdings, dass der Router durch Benutzerkennung und Passwort (nicht die Werkseinstellungen verwenden!) gesichert und der Remotezugang (oft werkseitig aktiviert) abgestellt wird. Benutzer von Wireless Routern sollen sich der mangelhafte Sicherheit des vorherrschenden Schlüsselprotokolls WEP bewusst sein. Router mit WPA Protokoll sind eindeutig vorzuziehen.