Bundesamt für Sicherheit in der Informationstechnik

M 5.91 Einsatz von Personal Firewalls für Clients

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Personal Firewalls kontrollieren und unterbinden Zugriffe auf Clients über angebundene IT -Netze bzw. von Clients auf diese Netze. Je nach Art des Netzdienstes und der Richtung des Verbindungsaufbaus kann von der Personal Firewall des Client ein Kommunikationsaufbau gestattet oder abgewiesen werden. Eine Personal Firewall könnte beispielsweise so konfiguriert sein, dass alle Verbindungen, die von dem Client aufgebaut werden, erlaubt und alle von außen ankommenden Anfragen blockiert werden.

Personal Firewalls können nach unterschiedlichen Prinzipien arbeiten:

  • Zustandslose ("stateless") Personal Firewalls entscheiden anhand von Eigenschaften wie Quell- und Ziel-Adressen oder -Ports der bei der Kommunikation übertragenen Datenpakete darüber, ob die Verbindung erlaubt oder abgewiesen werden soll. Im Wesentlichen wird hierzu die Absender- bzw. Zieladresse und Port-Nummer des Dienstes herangezogen. Zustandslose Personal Firewalls können oft mit präparierten Paketen umgangen werden.
  • Kontextsensitive ("stateful") Personal Firewalls berücksichtigen bei der Entscheidung auch vorangegangene Pakete. So kann eine kontextsensitive Personal Firewall ein zu prüfendes Paket in den Kontext einer Verbindung bringen und nur dann erlauben, wenn die Verbindung selbst zulässig ist. Nicht in den Verbindungskontext passende Pakete werden verworfen.
  • Anwendungsfirewalls (Applicationfirewall) können Netzverkehr auf Basis der Anwendung, die eine Verbindung aufbauen will, prüfen. Dazu verfügt die Applikations-Firewall über eine Whitelist, in der die kommunikationsberechtigten Anwendungen eingetragen sind. Anwendungen, die nicht auf der Whitelist stehen, können keine Verbindungen über das Netz aufbauen oder entgegennehmen.

Viele Betriebssysteme beinhalten bereits eine Personal Firewall. Diese braucht oft nur aktiviert werden und je nach Betriebssystem stehen unterschiedlich umfangreiche Funktionen zur Verfügung. Zusätzlich werden von diversen Drittherstellern Sicherheitslösungen ("Security Suite") angeboten, die unter anderem eine Personal Firewall beinhalten. Oft sind die im Betriebssystem integrierten Personal Firewalls im Gegensatz zu den Sicherheitslösungen weniger umfangreich und unkomfortabler. Dafür können diese bordeigenen Lösungen sofort aktiviert werden und es entstehen keine zusätzlichen Kosten für die Beschaffung. Wenn eine Personal Firewall eingesetzt werden soll, ist zu entscheiden, ob die bordeigene Personal Firewall oder eine Lösung von einem Dritthersteller eingesetzt werden soll, auf einen Mischbetrieb sollte verzichtet werden.

Einsatzumgebungen

Als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet sind Personal Firewalls ungenügend. Der alleinige Einsatz von Personal Firewalls bringt folgende Nachteile mit sich:

  • Alle direkt ans Internet angeschlossenen Clients müssen besonders gehärtet werden, d. h. die potentiellen Schwachstellen des Betriebssystems müssen behoben werden, da der Client nicht durch andere IT-Systeme, wie Sicherheitsgateways, geschützt wird.
  • Wie bei jeder dezentral eingesetzten Software ist das Management und die Auswertung der Protokolldaten der einzelnen Personal Firewalls aufwendig.

Es sollte geprüft werden, auf welchen Clients und mit welchen Rahmenbedingungen eine Personal Firewall eingesetzt werden soll. Da Clients in einem LAN durch ein Sicherheitsgateway geschützt werden, kann auf den Einsatz von Personal Firewalls auf den Clients in der Regel verzichtet werden. Bei einem höheren Schutzbedarf sollte der Einsatz von Personal Firewalls geprüft werden.

Mobile genutzte IT-Systeme wie Laptops sollten unbedingt durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz geschützt werden, wenn sie direkt an das Internet angeschlossen werden.

Ebenso sollten auf Internet-PCs, d. h. Computern, die ausschließlich für die Nutzung des Internets bereitgestellt werden und keine Verbindung zum Behörden- bzw. Unternehmensnetz haben, Personal Firewalls installiert sein.

Aufgrund des vielfältigen Funktionsumfangs der verschiedenen Varianten von Personal Firewalls und deren Komplexität muss dabei jedoch eine kompetente Administration sichergestellt sein, die Benutzer sollten sie weder selber konfigurieren müssen noch die Einstellungen ändern dürfen.

Personal Firewalls als Bestandteil einer Sicherheitslösung (Security Suite)

Personal Firewalls werden inzwischen von einer Vielzahl von Herstellern angeboten. Zum Teil ist der Einsatz für private Anwender sogar kostenlos. Im kommerziellen oder behördlichen Umfeld müssen jedoch in der Regel Lizenzen erworben werden. Personal Firewalls werden häufig in Fachzeitschriften getestet. Die Ergebnisse dieser Tests können bei der Auswahl eines für den vorliegenden Einsatzzweck geeigneten Produkts helfen.

Als Ergänzung zu einem zentralen Sicherheitsgateway (Firewall) kann der Einsatz von Personal Firewalls als Teil einer Sicherheitslösung durchaus sinnvoll sein. Prinzipiell ist es z. B. bei umfangreichen Sicherheitslösungen von Drittherstellern, die eine Personal Firewall beinhalten, möglich, mit ihnen die Prüfung auf Schadsoftware, die über E-Mail, Java, ActiveX oder ähnliche Mechanismen übertragen werden kann, auf den Clients vorzunehmen. Hierfür können Mechanismen wie Sandboxing eingesetzt werden, mit denen der Zugriff von Applikationen, die vom Internet auf das lokale System übertragen werden (Java, ActiveX, etc.), eingeschränkt werden kann. Mit diesen oft umfangreichen Sicherheitslösungen wird die Aufgabe der Prüfung auf Schadsoftware dezentralisiert und damit das Firewall-System entlastet. Ein weiterer Vorteil liegt darin, dass die Problematik der Filterung von verschlüsselten Daten auf der Firewall umgangen werden kann.

Konfiguration

Bei Konfiguration und Betrieb einer Personal Firewall sollten folgende Aspekte berücksichtigt werden:

  • Die Filterregeln sollten so restriktiv wie möglich eingestellt werden. Dabei gilt der Grundsatz: Alles was nicht ausdrücklich erlaubt ist, ist verboten. Es wird empfohlen, dass abgehende Verbindungen nur von dafür zugelassenen Anwendungen oder Diensten aufgebaut werden dürfen. Basierend auf der IP-Adresse des Zielsystems, der Port-Nummer des benötigten Dienstes und der zugreifenden Anwendung bzw. des zugreifenden Dienstes könnten folgende vom Client aufgebaute Zugriffe beschränkt bzw. erlaubt werden:
  • zu Datei- und Druck-Servern
  • zum Internet für den Browser über das Sicherheitsgateway
  • zum E-Mail- und Kalender-Server für die E-Mail- und Kalenderanwendung
  • zu Update-Servern im lokalen Netz für die Aktualisierung von Betriebssystem, Anwendungen und insbesondere des Virenschutzprogramms
  • Kommunikation zum eventuell vorhandenen zentralen Protokollierungsdienst für alle Dienste und Anwendungen, die Meldungen protokollieren
    Ankommende Verbindungen sollten auf die für Fernwartung, Software-Verteilung, Systemaktualisierung und Überwachung erforderlichen Dienste und die hierfür verwendeten Server-Systeme beschränkt werden.
  • Die Filterregeln der Personal Firewall sollten nach der erstmaligen Konfiguration daraufhin getestet werden, ob die erlaubten Ereignisse zugelassen und unerlaubte Ereignisse unterbunden werden.
  • Die korrekte Konfiguration der Filterregeln sollte in sporadischen Abständen überprüft werden, wenn die Installation des Clients nicht ohnehin regelmäßig gelöscht und anhand eines Festplatten-Abbildes (Images) erneut aufgespielt wird, z. B. bei Internet-PCs.
  • Falls das verwendete Produkt diese Möglichkeit bietet, sollten die Regeln der Personal Firewall auch speziellen Programmen zugeordnet werden. Dadurch kann unter Umständen erkannt und verhindert werden, dass ein anderes als die vorgesehenen Client-Programme Verbindungen zu Rechnern im Internet aufbaut oder annimmt.
  • Da viele der Prüfmechanismen einer Personal Firewall auf aktuellen Erkenntnissen beruhen, müssen vom Hersteller veröffentlichte Patches bzw. Updates regelmäßig eingespielt werden. Dabei ist sicherzustellen, dass die dafür erforderlichen Dateien von einer vertrauenswürdigen Quelle, beispielsweise direkt vom Hersteller, bezogen werden.
  • Die Personal Firewall muss so konfiguriert werden, dass die Benutzer nicht durch eine Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können.
  • Falls das verwendete Produkt diese Möglichkeit bietet, sollten sicherheitsrelevante Ereignisse protokolliert werden. Die Protokolldaten sollten regelmäßig durch fachkundiges Personal ausgewertet werden. Die Hinweise in M 2.110 Datenschutzaspekte bei der Protokollierung sind zu beachten.

Einige Produkte verfügen über die Möglichkeit, mit einer sehr restriktiven Grundkonfiguration zu starten und danach die Einstellungen im laufenden Betrieb zu verfeinern. Dabei wird jedes Mal, wenn ein sicherheitsrelevantes Ereignis auftritt, für das bisher noch keine eindeutige Regel existiert, der Benutzer gefragt, ob dieses Ereignis zulässig ist. Ein Beispiel für ein solches sicherheitsrelevantes Ereignis ist der Zugriff eines bestimmten installierten Programms auf das Internet. Auf der Grundlage der Antworten des Benutzers ermittelt die Personal Firewall Schritt für Schritt die gewünschte Konfiguration, z. B. die Filterregeln.

Der Vorteil dieser inkrementellen Konfiguration ist, dass dadurch die Komplexität der Administration reduziert werden kann. Nachteilig ist jedoch, dass Benutzer in der Regel nicht ohne Weiteres beurteilen können, ob ein bestimmtes Ereignis zulässig ist oder nicht. Die inkrementelle Konfiguration der Personal Firewall kann daher nur dann empfohlen werden, wenn den Benutzern entweder präzise Vorgaben gemacht werden, wie sie auf Rückfragen des Programms antworten sollen oder wenn dies unter Anleitung eines Administrators, z. B. durch telefonische Rückfragen, erfolgt.

Prüffragen:

  • Existiert ein Konzept für den Einsatz von Personal Firewalls?

  • Sind die Filterregeln der Personal Firewall so restriktiv wie möglich eingestellt?

  • Wird die korrekte Konfiguration der Filterregeln der Personal Firewall regelmäßig getestet?

  • Werden vom Hersteller veröffentlichte Patches bzw. Updates zur Behebung sicherheitsrelevanter Schwachstellen der Personal Firewall installiert?

  • Wurde die Personal Firewall so konfiguriert, dass die Benutzer nicht durch Warnmeldungen belästigt werden, die sie nicht interpretieren können?

Stand: 13. EL Stand 2013