Personal Firewall

Eine Personal Firewall (auch Desktop Firewall genannt) ist Software, die auf einem Host – d.h. auf einem an ein Netzwerk angeschlossenen Computer – installiert ist, um diesen vor Gefahren aus dem Netz zu schützen.

Bei dem Netzwerk kann es sich um das Internet oder um das LAN eines Unternehmens oder Studentenwohnheims handeln. Die Personal Firewall soll Zugriffe von außen auf den Rechner kontrollieren beziehungsweise verhindern, um ihn vor Angriffen von Würmern (wie Blaster oder Sasser), Skriptkiddies oder Crackern zu schützen. Eine weitere Aufgabe besteht darin, ausgehende Kommunikation von Trojanischen Pferden und Spyware zu erkennen und zu verhindern.

Eine Personal Firewall verfügt über folgende Funktionen:

• Ein Paketfilter ermöglicht es, auf einem Netzwerk-Interface eingehende oder ausgehende Datenpakete gezielt zu blockieren oder durchzulassen. Filterkriterien können Quell- und Zieladresse, Quell- und Zielport sowie das Protokoll sein. Zusätzlich kann auch die Anwendung in die Formulierung der Regel eingeschlossen werden, so kann einzelnen Anwendungen eine bestimmte Kommunikation erlaubt werden, die anderen verboten ist.
• Ein Anwendungsfilter (application control) soll es ermöglichen, einzelnen Anwendungen die Netzwerkkommunikation insgesamt zu verbieten oder zu erlauben.
• Die Personal Firewall stellt dem Anwender oder Administrator ein graphisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.

Manche Produkte beinhalten einige der folgenden Features:

• Ein Content-Filter kann die Inhalte der Pakete überprüfen und beispielsweise ActiveX oder JavaScript aus angeforderten HTML-Seiten herausfiltern. Auch Filter für E-Mail-Attachements werden häufig angeboten.
• Intrusion Detection System (IDS): Die Personal Firewall kennt bestimmte Angriffsmuster. Sie versucht, Angriffe zu erkennen und meldet sie.
• Lernmodus: Die Regeln für Paketfilter und Anwendungsfilter werden durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird der Benutzer in einem Dialogfenster aufgefordert, festzulegen, ob dieser Traffic gestattet oder verboten werden soll.
• Logfiles: Personal Firewalls bieten meist die Möglichkeit, das Vorgehen des Paketfilters in Logfiles zu protokollieren. So ist es möglich, Fehler bei der Netzwerkkonfiguration zu erkennen. Auch kann man durch mit Hilfe der Protokollierung viel darüber erfahren, wie die Kommunikation in Computernetzen auf technischer Seite stattfindet. Ähnliche Funktionalität bieten Sniffer.
• Sandboxing: Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemresourcen verweigert. Es soll verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.
• Stateful Inspection (zustandsgesteuerte Paketfilterung): Die Paktfilter einiger Personal Firewalls wissen um den Status einer Verbindung Bescheid. Sie können feststellen, ob ein ausgehendes oder eingehendes Datenpaket zu einer bereits bestehenden Verbindung gehört und diese Information als Filterkriterium heranziehen.
• Stealth-Modus (von engl. stealth = die Heimlichkeit): Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Dadurch soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als Security through Obscurity (Sicherheit durch Verschleierung). Wenn der Router des Providers auf Pings nicht mit „Destination unreachable" antwortet, kann ein Angreifer jedoch annehmen, dass der Rechner erreichbar ist. Ein Portscanner kann das Problem, dass Anfragen ins Timeout laufen, umgehen: Er sendet die Anfragen parallel und sammelt dann alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als "gefiltert" angezeigt. Der Portscan wird ausgebremst aber nicht verhindert.
• Ein Remotezugang dient zur zentralen Admistration der Personal Firewalls auf den Endgeräten in einem Netzwerk durch den Netzwerkadministrator.

Eine Terminologie zum Thema gibt es nicht. Begriffe werden unterschiedlich, manchmal sogar widersprüchlich benutzt.

Manchmal wird die Installation auf dem Host und die damit verbundene Möglichkeit anwendungsspezifisch zu filtern als das Merkmal einer Personal Firewall gesehen. Eine andere Sichtweise ist, dass es sich bei einer Personal Firewall um einen Paketfilter handelt, der mit dem Benutzer interagiert. Wieder andere möchten die Funktionsvielfalt mancher Produkte (IDS, Content Filter, ...) in der Definition verankert sehen.

Häufig geben Hersteller ihrer Paketfiltersoftware oder deren Konfigurationstools den Namen Firewall. Beispiele dafür sind die Windows Firewall die SuSEfirewall oder die IP Firewall (IPFW) von FreeBSD. In Handbüchern von Personal Firewalls und Computerzeitschriften werden die Bezeichnungen Firewall und Personal Firewall häufig synonym eingesetzt. Bei Heimanwendern haben sich die Begriffe Hardwarefirewall und Softwarefirewall eingebürgert. Hardwarefirewall bezeichnet ein exteres Gerät; Softwarefirewall ist ein Synonym für Personal Firewall.

Viele Netzwerkadministratoren lehnen diese Bezeichnungen ab: Auch auf einem externen Router läuft Software. Statt zwischen Hard- und Softwarefirewall sollte man daher zwischen Routern mit Paketfilterfunktion und Hostbasierenden Paketfiltern (HBPF) unterscheiden. Alle der oben genannten Produkte würden – nach Meinung vieler Netzwerkadministratoren – nicht der Bezeichnung Firewall gerecht. Eine Firewall sei ein sorgfältig geplantes und ständig gewartetes System zur Trennung von Netzbereichen. „Eine Firewall ist ein Konzept", heißt es, „und keine Software, die man sich einfach installieren kann." Die Umsetzung eines solchen Firewallkonzepts – die (physische) Firewall – ist standortspezifisch und besteht nur selten aus einer einzigen Komponente.

Elisabeth D. Zwicky (2001; S. 34) schreibt: „Die Welt ist voll von Leuten, die darauf bedacht sind, ihnen weiszumachen, dass etwas keine Firewall ist. [...] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“

Personal Firewalls bilden oftmals einen Teil der Absicherung privater PCs mit Internetzugang. Absolute Sicherheit ist aber unerreichbar, auch eine PFW schützt nicht vor allen Gefahren. Wichtig ist, dass eine PFW niemals die alleinige Schutzmaßnahme sein sollte. Weitere Absicherungen sind Benutzung von Viren- und Spywarescannern, regelmäßiges Anfertigen von Backups, regelmäßiges Einspielen sicherheitsrelevanter Updates, sicherer Konfiguration von Webbrowser, E-Mail-Programm und Betriebssystem und generell ein vorsichtiger Umgang mit dem Internet.

Grundsätzlich können Personal Firewalls vor einigen automatisierten Angriffen schützen. So kann man beispielsweise den Sasser-Wurm mit den meisten Personal Firewalls erfolgreich abwehren. Viele solcher Angriffe lassen sich auch durch korrekte Netzwerkkonfiguration abwehren. Vor allen Dingen sollten ungenutzte Dienste abgeschaltet werden. Eine Firewall hilft aber die verbliebenen Löcher zu stopfen und so teilweise auch auf Konfigurationsfehler aufmerksam zu machen.

Erfahrene Benutzer können mithilfe einer Firewall auch Spyware oder Trojaner erkennen, die noch nicht in der Musterdatenbank eines Spywarescanners enthalten sind. Verlangt ein unbekanntes Programm Verbindung mit dem Internet, so ist zumindestens der Verdacht gegeben, und sollte näher geprüft werden. Ein kompromittiertes System kann aber auch durch eine Firewall nicht mehr gesichert werden. In diesem Fall ist eine gründliche Bereinigung der Infektion empfehlenswert.

Die Personal Firewall kann aber auch selbst zum Angriffsziel werden. Manchmal werden Schwachstellen in Personal Firewalls bekannt, die entfernte Angriffe auf die zu schützenden Systeme ermöglichen. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von Black-ICE und RealSecure Opfer des Witty-Wurms [1].

Viele Schadprogramme auf dem Rechner versuchen Firewalls durch versteckte Verbindungen zu umgehen oder diese gleich ganz zu beenden. Ob diese Strategien von Erfolg gekrönt sind, hängt stark von der eingesetzten Firewall-Software ab.

Manchmal fällt im Zusammenhang mit Firewalls auch das Schlagwort "Risikokompensation". Dahinter steckt die Annahme, Computeranwender würden sich leichtsinniger verhalten, wenn auf dem PC Sicherheitssoftware installiert ist. Diese Annahme wird zum einen aus Beobachtungen des Nutzerverhaltens gezogen. Ausserdem existieren Studien über das Verhalten von Autofahrern. Hier wurde ebenfalls festgestellt, dass Autofahrer den erhöhten Sicherheitseffekt durch Airbags, ABS etc. durch riskantere Fahrweise teilweise wieder zunichte machen.

Man kann Firewalls und deren Logs benutzen, um mehr über den durch den eigenen Rechner initiierten Netzverkehr zu lernen. Um volles Verständnis zu erlangen, sollte man aber gleichzeitig auch entsprechende Bücher oder Artikel zu Rate ziehen.

Grundsätzlich sollte man als Benutzer nicht mit 'root'- oder 'Administrator'-Rechten arbeiten, sondern zum Surfen im Internet einen eingeschränkten Benutzeraccount nutzen. Schadsoftware hat so auch nur eingeschränkte Rechte, dies gilt auch beim Zugriff auf die Firewallsoftware, die andernfalls leichter beendet oder umgangen werden kann.

Der Betrieb von mehr als einer Personal Firewall auf einem Rechner ist nicht anzuraten, da sich diese gegenseitig behindern können und daher die Schutzwirkung verloren geht. Setzt man eine andere Personal Firewall ein, sollte man also auch die mitgelieferte Firewall bei Windows XP deaktivieren.

Schädlich ist der von manchen Firewall-Produkten angebotene 'Stealth-Modus'. Bei diesem werden Anfragen auf ungenutzten Ports gar nicht beantwortet. Normalerweise würde in diesem Fall eine Antwort erfolgen, dass der Port nicht belegt ist. Durch diese Strategie können aber reguläre Programme erheblich gestört werden, während sich Angreifer auf diese Situation leicht einstellen können und entsprechend reagieren. Aus diesem Grunde sollte so ein Modus nicht benutzt werden.

Bei der Definition der Regeln sollte man so wenig wie möglich freigeben. Funktioniert danach eine Software nicht mehr wie erwartet, so durchsucht man das Log nach gesperrten Verbindungen und gibt diese frei, wenn man sich sicher ist, dass sie zu der gewünschten Anwendung gehören.

Die Windows Firewall ist seit Service Pack 2 Bestandteil von Windows XP. Sie wird bei der Installation des Service Packs 2 oder bei der Windowsinstallation von einem Datenträger mit integriertem (engl.: slipstreamed) Service Pack 2 automatisch aktiviert. In Standardkonfiguration blockiert sie eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste bereitstellen nach, ob sie Verbindungen zu den von diesen Programmen geöffneten Ports erlauben soll. Sie kann über das Sicherheitscenter oder über die Datei Namens NETFW.INF konfiguriert werden. Dort kann man in zwei Profilen Ausnahmelisten für bestimmte Ports und Programme erstellen.

In Standardkonfiguration hat die Windows Firewall leider einen sicherheitskritischen Fehler; dieser wurde mit der Korrektur KB886185 vom 14.12.2004 beseitigt.

Ihr Vorgänger, die Internet Connection Firewall (ICF) ist ein reiner Paketfilter. In den Grundeinstellungen von Windows XP ist die ICF nicht aktiviert.

Einer der Vorteile von ZoneAlarm ist auch einer seiner Nachteile: im Gegensatz zu anderen Produkten lassen sich nur sehr wenige Einstellungen und Regeln festlegen.

Für komplexe Netzwerke ist die Personal-Firewall nicht geeignet und auch nicht vorgesehen.

• Zonelabs - Originale Seite (englisch)
• Zonealarm - Deutsche Seite

Die Kerio Personal Firewall entstammt der Tiny Personal Firewall und heißt seit der Version 2.0 Kerio.

Kerio bietet sein Produkt für Heimanwender ebenfalls kostenlos an. Bei der Installation erhält man zunächst eine Vollversion, die für 30 Tage getestet werden kann. Danach kann die Software als limitierte Edition weiter genutzt werden.

Viele Anwender schätzen diese Personal Firewall wegen ihrer hohen Konfigurierbarkeit. Viele Einstellungen können sehr detailliert getroffen werden. Dies bedeutet u.a. auch einen hohen Lerneffekt für den Nutzer.

Die kostenlose Version von Kerio wird vom BSI empfohlen.

• Kerio Personal Firewall

Die Norton Personal Firewall von Symantec geht aus der 1999 von WRQ zugekauften Firewallsoftware AtGuard hervor. Sie ist Bestandteil des Softwarepakets Norton Internet Security. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf die Firma Peter Norton Computing zurück, die 1990 von Symantec gekauft wurde.

• Sygate Personal Firewall
• Outpost

• Zwicky, Cooper, Chapman, Einrichten von Internet Firewalls, O'Reilly 2001, ISBN 3897211696

• BSI über Personal Firewalls
• Lücken von Personal Firewalls
• de.comp.security.firewall-FAQ
• Reviews von Personal-Firewall-Produkten (englisch)