Internet Firewall sicherheit Personal Firewall Firewalls Personal Firewalls Hardware-Firewall

Pro und Kontra Firewall - Informationen!

Von: , Frage gestellt am Di, 25. Jan 2005

Nachdem hier im Board schon hitzigste Diskussionen zum Thema abgelaufen sind, wie wäre es mit einigen Informationen?
Von meiner Webseite http://www.comsafe.de:

Firewall - Für und Wider
Das organisatorische und technische Konzept zur Trennung von Netzbereichen, sowie dessen Umsetzung und dauerhafte Pflege bezeichnet man in der Informationstechnik als Firewall (dt. Brandmauer). Vor allem bei der Verbindung von lokalen Netzwerken mit dem Internet kommt dafür entweder ein separater Rechner oder eine spezielle Hardware zum Einsatz, um die getrennten Netzbereiche genau so zu verbinden, wie es im Konzept vorgesehen ist. Diese Lösung bezeichnet man als Hardware Firewall.

Eine Personal Firewall (auch dezentrale Firewall oder Desktop-Firewall genannt) kommt auf einzelnen Arbeitsplätzen zum Einsatz und ist eine Software Lösung. Sie soll dafür sorgen, dass der Rechner keine unerwünschten Daten aus dem Internet annimmt und dass nur vom Benutzer zugelassene Programme Verbindungen ins Internet aufnehmen und Ports öffnen. Dies geschieht mittels detaillierter Filterregeln. Grundlage sollte auch hier ein Sicherheitskonzept sein, auf dem die Filterregeln basieren.

Im Folgenden wollen wir uns - soweit nicht anders angegeben - mit den Personal Firewalls (PFW) beschäftigen.

Kontra
Viele Experten raten von Personal Firewalls (PFW) ab. Ihre Gründe:
Für die sinnvolle Konfiguration einer Personal Firewall benötigt man grundlegende Kenntnisse des TCP/IP-Protokolls und ein klares Datensicherheitskonzept. Vielen Anwendern mangelt es an diesem Wissen, und auch das Sicherheitskonzept ist, wenn überhaupt vorhanden, sehr verschwommen. Die Anwender verlassen sich dann blindlings auf die Werbeaussagen der PFW Hersteller, die ihre Produkte als die "ultima ratio" für Computersicherheit darstellen. Durch die vorgegaukelte Funktionalität wiegt sich der Anwender in Sicherheit und installiert deshalb ohne Risikobewußtsein Software, die möglicherweise Malware enthält.

Der Einsatz und Betrieb einer PFW suggeriert Sicherheit. Viele PFW melden bereits nach kurzer Zeit zahlreiche geblockte Hackerangriffe und Verbindungsversuche. Dabei handelt es sich um ganz normale Vorgänge: Es wird lediglich versucht festzustellen, ob ein bestimmter Dienst auf dem PC läuft und ob dieser Daten über einen bestimmten Port entgegenzunehmen bereit ist. Viele PFW provozierten sogar einen DoS-Angriff auf den Rechner, indem sie Anfragen einfach ignorieren, statt die Anfrage mit "hier ist kein Dienst" zu beantworten.

Ohne den Einsatz weiterer Sicherheitsmaßnahmen lassen sich Personal Firewalls mit relativ wenig Mühe aushebeln, ohne dass der Benutzer davon etwas bemerkt. Im Internet existieren z. B. Javascript Programme, die Firewall Warnfenster automatisch mit "ja" beantworten - oft bemerkt der Anwender die Warnmeldung dann gar nicht. Siehe auch
http://my-forum.netfirms.com/zone/zcode.htm

Über die Möglichkeiten eine Firewall zu unterlaufen gibt es eine sehr informative Webseite von Hendrik Brummermann
http://home.arcor.de/nhb/pf-austricksen.html.

Die Regelanpassung zur Laufzeit (Lernmodus) ist besonders kritisch zu bewerten. Oft ist der Dialog im Lernmodus lästig bzw. die angezeigten Zusammenhänge zwischen Programmen und Diensten sind nicht bekannt. Spätestens nach der dritten nicht laufenden Applikation sinkt die Bereitschaft des Benutzers, sich mit den einzurichtenden Filtern genauer zu beschäftigen, und Zugriffe aufs Internet werden einfach freigegeben.

Regeln, die der Anwender selbst definieren kann, kann auch ein Wurm verändern, da PFWs meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Eine Firewall, die auf dem System läuft, das sie schützen soll, widerspricht der Grundidee einer Firewall, nämlich zu verhindern, dass schädigende Datenpakete bis zum zu schützenden System vordringen können. So sind eventuell bereits anfällige Komponenten, welche eigentlich geschützt werden sollen, vom Angreifer durchlaufen, bevor die Firewall überhaupt eingreifen konnte.

Durch die Installation der Firewallsoftware wird die Komplexität des zu schützenden Systems erhöht und die Fehleranfälligkeit steigt. Komplexe Firewallsoftware kann zudem die Leistung (vor allem älterer Computer) mindern.

Sicherheit kann man auch ohne PFW durch entsprechende Konfiguration des Betriebssystems und durch Entfernen unnötiger Dienste sowie durch ein entsprechendes Verhalten der Benutzer (Brainwall = "erst denken dann klicken") erreichen.


Pro
Wenn man sich allerdings der obigen Nachteile bewusst ist, kann eine Personal Firewall auch nützlich sein:
Der PC wird nach außen (ins Internet) abgeschottet. Wer die auf dieser Webseite gegebenen Sicherheitsmaßnahmen nicht umsetzt, erhält durch die PFW, mit den oben genannten Einschränkungen, Schutz vor Angriffen. Sämtliche Ports für den Zugriff aus dem Internet werden geblockt und damit automatische Infektionen aus dem Internet verhindert.

Die erfolgreiche Strategie "Es ist alles verboten, was nicht erlaubt ist" schützt vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet. Allerdings wird diese Regel vom Anwender durch Ausnahmen schnell aufgeweicht.

Zugriffe auf "vergessene" Dateifreigaben können abgefangen werden, vorausgesetzt, man hat die Dateifreigabe nicht auch in der PFW für beliebige Nutzer erlaubt.

Durch die Beschäftigung mit der Firewall und deren Meldungen lernt man einiges über den paketorientierten Datenverkehr im Internet, und wird eventuell auch im sonstigen Surf-Verhalten vorsichtiger.


Fazit
Nach Abwägung der Vor- und Nachteile kommen wir zu dem Schluß, dass Personal Firewalls sicher nicht zu den am dringenst benötigten Sicherheitsmaßnahmen gehören. Unsere Empfehlung:
Vertrauen Sie keiner Personal Firewall! Der Einsatz einer PWF kann zwar zur Kontrolle des Datenverkehrs und zur Abwehr von Angriffen aus dem Internet angezeigt sein, aber eine Firewall kann konstruktionsbedingt keinen hundertprozentigen Schutz vor Trojanern bieten. Oft vorherrschend ist die Meinung: "Ich habe doch eine Firewall installiert, was kann mir denn passieren?".

Wir empfehlen deshalb, unter Beachtung der Sicherheitsregeln auf dieser Webseite ("zehn goldene Regeln"), die Aktivierung der Firewall in Windows XP SP2. Die neue XP-Firewall blockiert standardmäßig alle von außen kommenden Verbindungsversuche. Sie schützt allerdings nur in eine Richtung, ausgehende Kommunikationsverbindungen blockiert die Firewall nicht. Ist ein Schädling erst einmal auf dem Computer, hält ihn die Firewall in der Regel nicht mehr auf.

Benutzer, die über eine DSL-Verbindung ins Internet gehen, empfehlen wir die Firewallfunktionen des Routers (Hardware Firewall) zu aktivieren. Zu beachten ist dabei allerdings, dass der Router durch Benutzerkennung und Passwort (nicht die Werkseinstellungen verwenden!) gesichert und der Remotezugang (oft werkseitig aktiviert) abgestellt wird. Benutzer von Wireless Routern sollen sich der mangelhafte Sicherheit des vorherrschenden Schlüsselprotokolls WEP bewusst sein. Router mit WPA Protokoll sind eindeutig vorzuziehen.

54 Antworten zu dieser Frage

1. Antwort von nach 5 Tagen 0 hilfreich

   kleine inhaltliche Frage

   Hallo,
   
   ich bin kein Experte, hätte aber ne Frage dazu:
   
   Ist es nicht doch sinnvoll eine PF zu haben, weil auch nicht jeder Angreifer ein großer Könner ist? Ich meine, dass ich die NSA nicht mit meinem popligen Norten aufhalten werde, ist mir klar. Die interessieren sich auch nicht für mich (hoffentlich). Aber vielleicht lässt sich der 11jähre Junge von nebenan, der sich als großer Internet-Pirat fühlt damit abschrecken?
   Schließlich bin ich doch mit einer anständig konfigurierten Firewall und etwas Vorsicht ein schwierigeres Opfer als Millionende anderer Nutzer, oder?
   Oder bin ich damit nur eine größere Herausforderung?
   
   Viele Grüße,
   Hannes
   

   • Antwort von nach 5 Tagen 0 hilfreich

     Re: kleine inhaltliche Frage

     Hallo Hannes Schließlich bin ich doch mit einer anständig konfigurierten
     Firewall und etwas Vorsicht ein schwierigeres Opfer als
     Millionende anderer Nutzer, oder?
     Kommt drauf an, um welche Bedrohung es konkret geht. Der von Dir angesprochene 11jährige wird z.B. mal mit einem Portscanner hantieren. Das ist an sich nichts schlimmes. Solche Portscans können Dir, wenn Du Dein System sinnvoll konfigurierst, völlig egal sein. Hast Du keine Dienste laufen, sind alle Ports geschlossen und somit würde ein Portscan nichts anrichten. Oder bin ich damit nur eine größere Herausforderung?
     Unter Umständen ja. Falls Du bei der PFW das sogenannte 'Stealth' verwendest, wodurch alle ankommenden Pakete wie Pings, Portscans etc. einfach weggeworfen werden, was angeblich Deinen Rechner 'unsichtbar' machen soll, kann das die Aufmerksamkeit eines Angreifers auf sich ziehen. Denn wenn er von einer IP-Adresse aus dem Range, den er scannt, keine Antworten bekommt, weiss er, dass da jemand ist und dass dieser jemand vermutlich eine PFW laufen hat. Denn wenn eine IP nicht in Verwendung ist, würde ein Portscan ein Resultat liefern.
     
     Man darf auch folgendes nicht vergessen: Egal ob man eine PFW einsetzt oder nicht, in jedem Fall benötigt man Wissen. Denn ohne Wissen kann man keine PFW 'anständig' konfigurieren. Das ist der Knackpunkt, den hier einige Leute versuchen, verständlich zu machen. Wissen kann durch nichts ersetzt werden als durch noch mehr Wissen.
     
     CU
     Peter
     

   • Antwort von nach 6 Tagen 0 hilfreich

     Re: kleine inhaltliche Frage

     big_surfer bezieht sich im Ursprungsposting im wesentlichen auf 'Personal' Firewalls (PF), daher werde auch ich mich darauf beschränken. Schließlich bin ich doch mit einer anständig konfigurierten
     Firewall und etwas Vorsicht ein schwierigeres Opfer als
     Millionende anderer Nutzer, oder?
     Mit der (von mir angebrachten) kleinen Hervorhebung hast du sicher recht. Eine PF, sauber konfiguriert und regelmässig auditiert, kann tatsächlich einen zusätzlichen Schutz bieten. Und es gibt Szenarien, in denen auch eine PF sinnvoll einsetzbar ist. Möglicherweise werde ich kein Szenario finden, für das ich nicht selbst oder ein anderer einen sinnvolleren, geeigneteren Lösungsansatz finde als die PF - einen Baum zu fällen ist der Einsatz der Motorsäge sinnvoller als der Einsatz einer Axt, dennoch ist die Axt ein für diesen Zweck geeignetes Werkzeug.
     
     Das Standardszenario für den Einsatz einer PF ist aber der PC zuhause, welcher hinter einem Router oder direkt über ein Modem ins Internet verbunden ist. Hier haben PF im wesentlichen zwei Aufgabenbereiche, die Trennung auf dem PC laufender Dienste vom Internet sowie das Unterbinden unerwünschter Programmzugriffe nach aussen.
     
     Für die erste Aufgabe lautet aber der zwingende Lösungsansatz, da eine PF, auch wenn gut gewartet, immer korrumpierbar ist, dafür zu sorgen, dass Dienste, soweit nicht erwünscht, schlicht nicht angeboten werden. Wird aber ein Dienst angeboten, z. B. weil du von dritter Stelle auf deinen PC daheim zugreifen willst, kann die PF nicht unterscheiden, ob ein Zugriff authorisiert ist oder nicht. Die PF bietet dir also in diesem Punkt keinerlei Zusatznutzen.
     
     Versucht ein auf deinem Rechner installierter Trojaner eine Verbindung ins Internet aufzubauen, z. B. um deine Kennwörter im Internet herumzuposaunen, hat der zweite Aufgabenbereich der PF seinen grossen Auftritt. Schauen wir vor diesem Auftritt aber mal kurz hinter die Kulissen: Die PF greift ganz offenkundig erst dann, wenn dein Rechner bereits korrumpiert ist. Es hat also zunächst eine Infektion stattgefunden, von der PF nicht verhindert (was auch deren Aufgabe nicht ist).
     
     Du hast dir bewusst eine Software installiert, welche dummerweise infiziert ist, du hast den IE mangelhaft konfiguriert eingesetzt, du hast gedankenlos einen Mailanhang geöffnet... Wenn jetzt die PF aufschreit, hat sie ihren Job getan, sie war tatsächlich nützlich. Das Problem ist aber, dass, wenn ein Programm deinen Rechner korrumpieren kann, es genauso gut auch die PF korrumpieren kann. Und jeder Nutzen ist wieder dahin.
     
     Der Wert der PF ist bezüglich dieser zweiten Aufgabe also zwar nicht zu negieren, aber als recht gering zu betrachten. Die PF schützt deinen Rechner nicht vor Schadsoftware, sie kann dir aber zur Erkenntnis einer Infektion verhelfen.
     
     Die Darstellung von Rundum-Sorglos-Paketen der üblichen 'Security'-Softwarehersteller in der Werbung entspricht also in keiner Weise der Realität, in dieser Darstellung aber liegt die wesentliche Gefahr: die Gefahr, dass sich Anwender auf den nicht vorhandenen Schutz ihres PC durch PF verlassen, und infolgedessen wesentliche Sicherheitsmassnahmen unterlassen bzw. leichtfertig werden.
     
     Unter der Voraussetzung, dass du selbst die Mechanismen der PF nicht unterläufst, dass du die notwendigen Sicherheitsmassnahmen ergreifst und dass du die PF nicht einfach nebenherlaufen lässt, sondern ihre Funktionalität regelmässig überwachst, kann sie dir tatsächlich einen Nutzen bringen. Die Frage, ob die erhöhte Systemkomplexität durch die PF oder Sicherheitslücken in der PF diesen Nutzen nicht wieder zunichte machen, betrachte ich als akademisch, da mögen andere drüber streiten.
     
     Gruss
     Schorsch
     

     • Antwort von nach 6 Tagen 0 hilfreich

       Re^2: kleine inhaltliche Frage

       Hallo Schorsch Und es gibt Szenarien, in denen auch eine PF sinnvoll
       einsetzbar ist.
       Ein mögliches Szenario, in der eine PFW nützlich sein kann:
       
       Etwas, was in jedem Fall zwingend nötig ist, ist die Aneignung von Wissen. Wissen über Netzwerke, Protokolle etc. Hier kann eine PFW helfen. Wenn nämlich der Benutzer die aufpoppenden Meldungen über 'Angriffe' zum Anlass nimmt, sich zu informieren, was da jeweils genau passiert ist, warum das passiert ist, ob das gefährlich ist und so weiter. Und auf diesem Weg sein Wissen vergrössert.
       
       In so einem Fall würde der User zu Anfang alles melden lassen, dann aber mit der Zeit immer mehr Meldungen so einstellen, dass nicht jeder Ping und jeder Portscan gemeldet wird. Sondern nur noch wirklich wichtige Sachen. Versucht ein auf deinem Rechner installierter Trojaner eine
       Verbindung ins Internet aufzubauen, z. B. um deine Kennwörter
       im Internet herumzuposaunen, hat der zweite Aufgabenbereich
       der PF seinen grossen Auftritt.
       Ich würde das allgemeiner formulieren. Die Hersteller von PFW versprechen ganz generell, dass eine PFW sämtlichen Traffic vom Rechner ins Internet kontrollieren und ggf. blockieren kann. Das ist ja auch etwas, was von vielen PFW-Nutzern gern angegeben wird, dass sie z.B. den Realplayer daran hindern können, 'nach Hause zu telefonieren'.
       
       Genau diese Kontrolle ist aber eben nicht möglich. Es ist unerheblich, ob es sich um eine Malware handelt oder um eine 'brave' Software, auch der Realplayer kann seine Daten an der PFW vorbei ins Internet senden, wenn er will. Da gibt es viele Möglichkeiten, einige davon sind im Design von Windows begründet und daher prinzipbedingt nicht wirksam zu verhindern. Der Wert der PF ist bezüglich dieser zweiten Aufgabe also zwar
       nicht zu negieren, aber als recht gering zu betrachten. Die PF
       schützt deinen Rechner nicht vor Schadsoftware, sie kann dir
       aber zur Erkenntnis einer Infektion verhelfen.
       Die Frage ist jedoch, wie gross oder klein ist die Chance, dass eine allfällige Kompromittierung tatsächlich dank der PFW erkannt wird. Und hier gehen halt einige Leute (darunter meine Wenigkeit) eher vom worst case aus, also dass diese Chance derart gering ist, dass man sie als nichtexistent betrachten muss.
       
       Auch wenn man eine PFW einsetzt und auch wenn diese nach allen Regeln der Kunst konfiguriert ist, so muss man sich trotzdem so verhalten, als ob sie nicht vorhanden wäre. Man muss genauso aufpassen, wo man so klickt und was man sich herunterlädt und ausführt. Aus diesem Grund halte ich den möglichen Sicherheitsgewinn selbst unter optimalen Bedingungen für gering.
       
       CU
       Peter
       

       • Antwort von nach 6 Tagen 0 hilfreich

         Re^3: kleine inhaltliche Frage

         Auch wenn man eine PFW einsetzt und auch wenn diese nach allen
         Regeln der Kunst konfiguriert ist, so muss man sich trotzdem
         so verhalten, als ob sie nicht vorhanden wäre. Man muss
         genauso aufpassen, wo man so klickt und was man sich
         herunterlädt und ausführt. Aus diesem Grund halte ich den
         möglichen Sicherheitsgewinn selbst unter optimalen Bedingungen
         für gering.
         Gerade hier sehe ich einen möglichen Nutzen der PF: Was ist, wenn mehrere Leute Zugriff auf diesen Rechner haben, wenn ich womöglich davon ausgehen muss, dass meine Mitnutzer (in einer Familie z. B. die Kinder oder der nicht ganz nüchtern vom wöchentlichen Kegelabend heimkehrende Gatte) sich eben nicht so verhalten?
         
         Ein Doppelclick zu viel, der Trojaner öffnet den SMTP-Port, will sich vom neuen Besitzer des PC seine Instruktionen holen, die PF kreischt auf (die Kinder schalten vor Schreck den Computer aus und haben nichts gemacht)... Ich denke, dass hier eine PF geeignet sein könnte, die Anwender vor sich selbst zu schützen. Unter welchen Bedingungen dieses Szenario realistisch ist, kann ich nicht beurteilen, entspr. Praxiserfahrungen habe ich selber nicht. Die Rahmenbedingungen für einen sinnvollen PF-Einsatz in solch einem Szenario dürften sehr eng geschnitten sein, der eine oder andere 'Dünne Mann' könnte aber in dieses Korsett durchaus hineinpassen.
         
         Käme ich aber von der anderen Seite, stünde ich vor der Wahl, ob ich mein Notebook und meine Daten einem fremden privaten Netzwerk anvertrauen wollte, und käme auf meine Frage, wie dieses Netz denn gesichert sei, als Antwort: "Wir setzen eine Personal Firewall ein" - fluchtartig fiele der Deckel aufs Laptop und das mir in die Hand gedrückte Kabel auf den Boden.
         
         Gruss
         Schorsch
         

• « Zurück
• 1
• 2
• 3
• 4
• 5
• 6
• Vorwärts »

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!