Bundesamt für Sicherheit in der Informationstechnik

Was ist eine Personal-Firewall?

Bei einer Personal-Firewall (auch u. a. dezentrale Firewall oder Desktop-Firewall genannt) handelt es sich um eine Software-Lösung, die auf den Endgeräten installiert wird. Sie soll vor Zugriffen aus dem Netz schützen. Ebenso soll sie verhindern, dass bestimmte Programme z. B. so genannte Spyware Kontakt von innen nach außen, ins Internet, aufnehmen. Einige Personal-Firewalls schränken auch die Zugriffsmöglichkeiten eines beliebigen Programms auf Systemressourcen ein (sog. Sandboxing). Dies soll ermöglichen, dass ein eventuell unsicheres Programm ohne größere Risiken genutzt werden kann. Sinnvoll kann eine derartige Funktionalität z. B. bei Browsern sein, die aktive Inhalte ausführen.

Wie können Personal-Firewalls sinnvoll eingesetzt werden?

Personal-Firewalls können in einem Netz zusätzlich zu einer zentralen Firewall auf den Endgeräten installiert werden. Es kann beispielsweise sinnvoll sein, die Browser in eine Sandbox (s. o.) zu sperren, wenn man aktive Inhalte im Netz zulassen möchte. Wird jetzt versucht eine Schwachstelle auszunutzen (um z. B. Daten von der Festplatte zu lesen), funktioniert das nicht, weil der Browser nicht die entsprechenden Rechte hat. Auch in Fällen, in denen in einem Netz Rechner mit stark unterschiedlichen Rechten und Schutzbedarf betrieben werden und eine Abschottung gegeneinander nicht durch Paketfilter oder Firewalls im Netz erfolgen kann, kann ein Einsatz von Personal Firewalls sinnvoll sein. In solchen Fällen sollten die Personal-Firewalls jedoch zentral administriert werden, um eine einheitliche, der Sicherheitspolitik der jeweiligen Institution entsprechende, Konfiguration zu gewährleisten.
Das Haupteinsatzgebiet der Personal-Firewalls ist jedoch der PC des Privat-Anwender. Ihn soll die Firewall vor Angriffen aus dem Internet schützen.

Wie arbeitet eine Personal-Firewall?

Hier unterscheiden sich die verschiedenen Produkte z. T. erheblich. Trotzdem kann eine Klassifizierung versucht werden.

  • Paketfilter: Hier untersucht die Software alle Datenpakete darauf, mit welchen Rechnern im Netz und mit welchen Diensten auf diesen Rechnern kommuniziert wird. In der Regel ist es so z. B. möglich, dass lediglich mit einem Rechner (z. B. dem E-Mail-Server beim Provider) E-Mail ausgetauscht werden kann. Weder sind dann mit diesem Rechner andere Kommunikationen möglich, noch kann ein anderer Server über die E-Mail-Protokolle mit dem geschützten Rechner kommunizieren. Bei einigen Produkten können die erlaubten Kommunikationsbeziehungen auch an einzelne Programme gebunden werden. Beispielsweise darf dann der Browser HTTP-Verbindungen aufbauen, jedem anderen Programm ist das aber verboten.
  • Sandbox: Hier werden einzelne Programme in eine eingeschränkte Umgebung "gesperrt". Das Programm kann dann durchaus Schwachstellen haben. Auswirkungen auf das System haben diese Schwachstellen jedoch nicht, da schon das verwundbare Programm keine Rechte zu den entsprechenden Änderungen am System hat.

Wie viel Sicherheit bietet mir eine Personal-Firewall?

Man sollte sich vor der Annahme hüten, dass die "einfache" Installation einer Personal-Firewall ausreicht, um den Rechner vor allen Gefahren des Internets zu schützen. Wichtig ist vor allen Dingen, dass das Betriebssystem, der Webbrowser, der E-Mail-Client und anderen Anwendungen so sicher wie möglich konfiguriert werden. Nicht benötigte Ports müssen geschlossen werden, um hier keine Angriffe zu provozieren. Der Einsatz eines aktuellen Virenscanners ist für die Sicherheit des Systems natürlich unerlässlich, ebenso wie die Durchführung regelmäßiger Datensicherungen und das Einspielen aktueller Software-Patches nach bekannt werden von relevanten Sicherheitslücken.
Dies sollen nur einige Beispiele sein, die verdeutlichen, dass Sicherheit nicht durch den Einsatz einer einzelnen Software erreicht werden kann, sondern nur durch ein Zusammenspiel verschiedener Faktoren.
Grundsätzlich gilt aber auch, je sicherer ein Rechner konfiguriert ist, desto kleiner ist der Sicherheitsgewinn durch den Einsatz einer Personal-Firewall.

Worauf soll ich beim Kauf einer Personal-Firewall achten?

Eine Personal-Firewall kann folgende Funktionalitäten erfüllen:

  • Paket-Filter
  • Sandboxing

Der Paket-Filter kontrolliert, ob die Daten in den Headern der an- und ausgehenden Pakete den vom Benutzer festgelegten Regeln entsprechen. Die Regeln sollen so restriktiv wie möglich definiert werden, um nur die wirklich notwendige Kommunikation zu zulassen. Sinnvoll ist es, wenn es möglich ist, die Kommunikationsbeziehungen für einzelne Anwendungen zu definieren. Um die Konfiguration zu vereinfachen, wäre es grundsätzlich wünschenswert, wenn die Personal-Firewall die Konfiguration – natürlich mit der Hilfe des Anwenders – "lernen" kann.
Beim Sandboxing-Verfahren handelt es sich um einen implementierten Schutzbereich, in dem z. B. der Browser und damit auch alle Java-Applets, Active-X, u. s. w. kontrolliert zur Ausführung gebracht werden. In diesem Bereich wird überprüft, ob es sich bei den Programmen um Schadsoftware handelt, ohne das der Rest des Systems davon beeinflusst wird. Dieses Verfahren wird jedoch von sehr wenigen Produkten verwendet.
Es muss jedoch an dieser Stelle hinzugefügt werden, dass auch ein solches Sandbox-Verfahren keinen umfassenden Schutz bieten kann. Denn um eine perfekte Sandbox zu implementieren ist es notwendig, alle Kommunikationsbeziehungen zwischen den Anwendungen und den Anwendungen mit dem Betriebssystem zu kennen.
Neben diesen beiden Funktionalitäten bieten einige Personal-Firewalls noch zusätzliche Funktionen an, z. B. Virenschutz, einfache Intrusion Detection Systeme (IDS), Contentfilter. Diese Funktionalitäten sind ggf. nützlich, müssen jedoch nicht ausschlaggebend für den Kauf einer Personal-Firewall sein, da es sie auch als Einzel-Software zu kaufen gibt.
Empfehlung: die Personal-Firewall muss den Paket-Filter beherrschen und es muss möglich sein, die Kommunikationsbeziehungen zwischen den einzelnen Anwendungen zu definieren.

Was muss ich bei der Konfiguration einer Personal-Firewall beachten?

Wenn Sie eine Personal-Firewall installiert haben, definieren Sie ihre Filterregeln so, dass nur die Zugriffe erlaubt sind, die unbedingt nötig sind. In regelmäßigen Abständen sollten Sie diese Filterregeln noch einmal überprüfen, um festzustellen, ob auch wirklich alle erlaubten Zugriffe notwendig sind. Wenn möglich, sollten die Regeln den jeweiligen Anwendungen zugeordnet werden. Darüber hinaus beachten Sie Folgendes:

  • Nicht benötigte Ports müssen gesperrt werden.
  • Es sollte immer der aktuellste Virenscanner installiert sein und auch benutzt werden.
  • Patches sollten sofort nach Bekanntgabe von Sicherheitslücken eingespielt werden.
  • Sicherheitrelevante Ereignisse sollten protokolliert und ausgewertet werden.

Einige Personal-Firewalls bieten die Möglichkeit einer selbstlernenden Konfiguration. Jede Anwendung, die eine bestimmte Verbindung zum ersten Mal benötigt, wird zunächst daran gehindert und die Personal-Firewall fragt den Anwender, ob die Verbindung zugelassen werden soll. So wird nach und nach ein Regelwerk aufgebaut. Vorteil dieser Konfiguration ist, dass sie auch für technische Laien einigermaßen verständlich ist. Der Nachteil ist jedoch, dass so schnell sicherheitskritische Fehlkonfigurationen passieren können.
Zusätzlich sollten Sie auf die korrekte Konfiguration des Web-Browsers, des Mail-Clients, des Betriebssystems und der Anwendungen achten. Um die Warnungen Ihrer Firewall zu verstehen, müssen Sie u. a. Bescheid wissen über die Bedeutung von IP-Adressen und Host-/ Rechnernamen sowie über die gemeldeten oder auch angemahnten TCP/UDP-Ports.

Ich bekomme dauernd Meldungen, dass ich gescannt werde. Oder:
Meine Firewall meldet einen Verbindungsaufbau zum Trojanischen Pferd xyz auf meinem Rechner.
Was ist zu tun?

Wenn die Personal-Firewall einen Scan (oder einen Verbindungsaufbau) meldet kann das verschiedene Ursachen haben:

  1. Die Provider teilen ihren Kunden in der Regel dynamisch vergebene IP-Adressen zu. Wenn sich ein Kunde abmeldet, wird die von ihm genutzte Adresse einem neuen Kunden zugeteilt, der sich danach (unter Umständen nur Sekunden später) einwählt. Wenn jetzt ein Internetrechner noch Daten an den alten Kunden sendet (z. B. aufgrund einer langsamen Leitung), wird dies von der Personal-Firewall des neuen Kunden als unerlaubte Verbindung gewertet.
  2. Ein anderer Internet-User hat seinen Rechner oder ein Programm falsch konfiguriert, sodass dieser Rechner versucht Verbindungen aufzubauen. Relativ häufig treten diese Probleme bei Filesharing-Programmen auf. Ein Indiz sind Verbindungsversuche von der selben IP-Adresse auf den selben Port.
  3. Es werden ganze Adressbereiche nach bestimmten Programmen abgesucht, die eine Hintertür auf dem Rechner (z. B. Back Orifice, Netbus) öffnen würden, oder nach Filesharing-Diensten o. Ä.. Hier ist meist ein einzelner Verbindungsaufbau zu einem einzelnen Port zu beobachten. Häufig meldet eine Personal-Firewall auch, dass versucht wurde, ein konkretes Hintertürprogramm zu kontaktieren. Diese Meldung kann in 95% der Fälle vernachlässigt werden, denn wenn dieses Programm nicht vorhanden ist (genauer, wenn auf dem entsprechenden Port kein Dienst lauscht), meldet der "angegriffene" Rechner dem Angreifer zurück, dass kein Dienst verfügbar ist, und der Angreifer wendet sich der nächsten IP-Adresse zu. Auch ein Rechner ohne Personal Firewall würde sich so verhalten.
  4. Wenn ein Angreifer einen Rechner genauer untersuchen möchte, versucht er zunächst alle Ports seines Ziels zu kontaktieren. Die Personal-Firewall würde also zahlreiche Verbindungsversuche auf verschiedene Ports melden. Derartige Angriffe sind gegen Privat-Anwender selten. Aufgrund der dynamischen IP-Vergabe der Provider ist ein gezielter Angriff nahezu auszuschließen. Bei einigen Internet-Diensten (z. B. IRC – "Internet Relay Chat") ist es aber für beliebige Kommnikationspartner durchaus möglich, die aktuelle IP-Adresse zu erfahren, sodass dann derartige Angriffe auch gezielt erfolgen könnten.

Die Szenarien 1) und 2) sind nicht als Angriff zu bewerten. Auch Szenenario 3) ist unkritisch, wenn kein entsprechendes Schadprogramm installiert wurde (das wiederum könnte ein Virenscanner feststellen).