Personal Firewall

Eine Personal Firewall (von engl. firewall: „Brandwand“) ist Software, die auf einem Host – d. h. auf einem an ein Netzwerk angeschlossenen Computer – installiert ist, um diesen vor Gefahren aus dem Netz zu schützen.

Bei dem Netzwerk kann es sich um das Internet oder um das LAN eines Unternehmens oder Studentenwohnheims handeln. Die Personal Firewall soll Zugriffe von außen auf den Rechner kontrollieren beziehungsweise verhindern, um ihn vor Angriffen von Würmern (wie Blaster oder Sasser), Skriptkiddies oder Crackern zu schützen. Eine weitere Aufgabe besteht darin, ausgehende Kommunikation von Trojanischen Pferden und Spyware zu erkennen und zu verhindern.

Grundsätzlich verfügt jede Firewall – so auch die Personal Firewall – über einen Paketfilter. Dieser ermöglicht es, auf einem Netzwerk-Interface eingehende oder ausgehende Datenpakete gezielt zu blockieren oder durchzulassen. Filterkriterien können Quell- und Zieladresse, Quell- und Zielport, Protokoll sowie die Datenrichtung sein.

Im Unterschied zu externen Firewalls hat eine Personal Firewall einen Anwendungsfilter (application control), der einzelnen Anwendungen die Netzwerkkommunikation insgesamt verbietet oder erlaubt. Zusätzlich kann die Anwendung auch in die Formulierung der Regeln für den zuvor erwähnten Paketfilter einfliessen. So kann einzelnen Anwendungen eine bestimmte Kommunikation erlaubt werden, die anderen verboten ist.

Die Personal Firewall stellt dem Anwender oder Administrator für gewöhnlich ein grafisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.

Viele Personal Firewalls bieten weitere Funktionalität an, die aber nicht unbedingt in jedem Produkt vorhanden ist.

Die meisten Personal Firewalls verfügen über einen Lernmodus. Dabei werden die Regeln für Paketfilter und Anwendungsfilter durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird dies dem Benutzer in einem Dialogfenster gemeldet. Er kann daraufhin entscheiden, ob diese Verbindung gestattet oder blockiert werden soll. Aus der Antwort kann die Firewall eine neue Regel generieren, die in Zukunft angewendet wird.

Mit einem Content-Filter kann die Firewall Inhalte der Pakete überprüfen und beispielsweise ActiveX, JavaScript oder Werbung aus angeforderten HTML-Seiten herausfiltern. Auch Filter für E-Mail-Anhänge werden häufig angeboten. Manche Firewalls verfügen über ein Intrusion Detection System (IDS). Dieses kennt bestimmte Angriffsmuster, deren Auftreten gemeldet wird. Eine weitere mögliche Funktionalität ist das Sandboxing. Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemresourcen verweigert. Es soll verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.

Die Stateful Inspection (zustandsgesteuerte Paketfilterung) ist eine typische Erweiterung für den Paketfilter. Dieser kennt den Status einer Verbindung und kann ein neues Datenpaket einer bestehenden Verbindung zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden.

Schadsoftware versucht oft die Filterung durch die Firewall zu umgehen. Dazu kann versucht werden die Firewall zu beenden. Ein häufiger Trick ist es auch, ein vertrauenswürdiges Programm (beispielsweise den Browser) zu starten und darüber die Verbindung herzustellen. Ebenso kann versucht werden, ein vertrauenswürdiges Programm oder eine davon genutzte Bibliothek zu verändern oder sich als Erweiterung für ein solches Programm einzuschleusen. Gute Firewalls erkennen diese Tricks und warnen den Benutzer.

Eine wichtige Funktion ist die Generierung von Protokollen (Logfiles). Die Firewall protokolliert das Vorgehen des Paketfilters in einer Datei. So ist es möglich, Fehler bei der Netzwerkkonfiguration zu erkennen. Auch kann man durch mit Hilfe der Protokollierung viel darüber erfahren, wie die Kommunikation in Computernetzen auf technischer Seite stattfindet. Ähnliche Funktionalität bieten Sniffer.

Einige Firewalls bieten einen Stealth-Modus (von engl. stealth = die Heimlichkeit) an. Bei diesem Modus werden Anfragen auf ungenutzten Ports unbeantwortet verworfen. Normalerweise würde in diesem Fall eine Antwort erfolgen, dass der Port nicht belegt ist. Dadurch soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als Security through Obscurity (Sicherheit durch Verschleierung).

Ein Remotezugang dient zur zentralen Admistration der Personal Firewalls auf den Endgeräten in einem Netzwerk durch den Netzwerkadministrator.

Eine Terminologie zum Thema gibt es nicht. Begriffe werden unterschiedlich, manchmal sogar widersprüchlich benutzt.

Manchmal wird die Installation auf dem Host und die damit verbundene Möglichkeit anwendungsspezifisch zu filtern als das Merkmal einer Personal Firewall gesehen. Eine andere Sichtweise ist, dass es sich bei einer Personal Firewall um einen Paketfilter handelt, der mit dem Benutzer interagiert. Wieder andere möchten die Funktionsvielfalt mancher Produkte (siehe weitere Funktionen) in der Definition verankert sehen.

Häufig geben Hersteller ihrer Paketfiltersoftware oder deren Konfigurationstools den Namen Firewall. Beispiele dafür sind die Windows Firewall die SuSEfirewall oder die IP Firewall (IPFW) von FreeBSD. In Handbüchern von Personal Firewalls und Computerzeitschriften werden die Bezeichnungen Firewall und Personal Firewall häufig synonym eingesetzt. Bei Heimanwendern haben sich die Begriffe Hardwarefirewall und Softwarefirewall eingebürgert. Hardwarefirewall bezeichnet ein exteres Gerät; Softwarefirewall ist ein Synonym für Personal Firewall.

Viele Netzwerkadministratoren lehnen diese Bezeichnungen ab: Auch auf einem externen Router läuft Software. Statt zwischen Hard- und Softwarefirewall sollte man daher zwischen Routern mit Paketfilterfunktion und Hostbasierenden Paketfiltern (HBPF) unterscheiden. Alle der oben genannten Produkte würden – nach Meinung vieler Netzwerkadministratoren – nicht der Bezeichnung Firewall gerecht. Eine Firewall sei ein sorgfältig geplantes und ständig gewartetes System zur Trennung von Netzbereichen. „Eine Firewall ist ein Konzept“, heißt es, „und keine Software, die man sich einfach installieren kann.“ Die Umsetzung eines solchen Firewallkonzepts – die (physische) Firewall – ist standortspezifisch und besteht nur selten aus einer einzigen Komponente.

Elisabeth D. Zwicky (Lit.: 2001, S. 34) schreibt: „Die Welt ist voll von Leuten, die darauf bedacht sind, ihnen weiszumachen, dass etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“

Personal Firewalls bilden oftmals einen Teil der Absicherung privater PCs mit Internetzugang. Absolute Sicherheit ist aber unerreichbar, auch eine PFW schützt nicht vor allen Gefahren. Wichtig ist, dass eine PFW niemals die alleinige Schutzmaßnahme sein sollte. Weitere Absicherungen sind Benutzung von Viren- und Spywarescannern, regelmäßiges Anfertigen von Backups, regelmäßiges Einspielen sicherheitsrelevanter Updates, sicherer Konfiguration von Webbrowser, E-Mail-Programm und Betriebssystem und generell ein vorsichtiger Umgang mit dem Internet.

Grundsätzlich können Personal Firewalls vor einigen automatisierten Angriffen schützen. So kann man beispielsweise den Sasser-Wurm mit den meisten Personal Firewalls erfolgreich abwehren. Viele solcher Angriffe lassen sich auch durch korrekte Netzwerkkonfiguration abwehren. Vor allen Dingen sollten ungenutzte Dienste abgeschaltet werden. Eine Firewall hilft aber, die verbliebenen Löcher zu stopfen und so teilweise auch auf Konfigurationsfehler aufmerksam zu machen.

Erfahrene Benutzer können mithilfe einer Firewall auch Spyware oder Trojanische Pferde erkennen, die noch nicht in der Musterdatenbank eines Spywarescanners enthalten sind. Verlangt ein unbekanntes Programm Verbindung mit dem Internet, so ist zumindest der Verdacht gegeben, und sollte näher geprüft werden. Ein kompromittiertes System kann aber auch durch eine Firewall nicht mehr gesichert werden. In diesem Fall ist eine gründliche Bereinigung der Infektion empfehlenswert.

Die Personal Firewall kann aber auch selbst zum Angriffsziel werden. Manchmal werden Schwachstellen in Personal Firewalls bekannt, die entfernte Angriffe auf die zu schützenden Systeme ermöglichen. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von Black-ICE und RealSecure Opfer des Witty-Wurms.

Viele Schadprogramme auf dem Rechner versuchen Firewalls durch versteckte Verbindungen zu umgehen oder diese gleich ganz zu beenden. Ob diese Strategien von Erfolg gekrönt sind, hängt stark von der eingesetzten Firewall-Software ab. Der Chaos Computer Club Ulm zeigte in einem Vortrag über Personal Firewalls, dass keine der getesteten Personal Firewalls bestimmte Angriffe verhindern konnte.

Manchmal fällt im Zusammenhang mit Firewalls auch das Schlagwort „Risikokompensation“. Dahinter steckt die Annahme, Computeranwender würden sich leichtsinniger verhalten, wenn auf dem PC Sicherheitssoftware installiert ist.

Man kann Firewalls und deren Logs benutzen, um mehr über den durch den eigenen Rechner initiierten Netzverkehr zu lernen. Um volles Verständnis zu erlangen, sollte man aber gleichzeitig auch entsprechende Bücher oder Artikel zu Rate ziehen.

Grundsätzlich sollte man als Benutzer nicht mit ‚root‘- oder ‚Administrator‘-Rechten arbeiten, sondern zum Surfen im Internet einen eingeschränkten Benutzeraccount nutzen. Schadsoftware hat so auch nur eingeschränkte Rechte, dies gilt auch beim Zugriff auf die Firewallsoftware, die andernfalls leichter beendet oder umgangen werden kann.

Der Betrieb von mehr als einer Personal Firewall auf einem Rechner ist nicht anzuraten, da sich diese gegenseitig behindern können und daher die Schutzwirkung verloren geht. Setzt man eine andere Personal Firewall ein, sollte man also auch die bei Windows XP Service Pack 2 mitgelieferte Firewall deaktivieren.

Kritisch wird der von manchen Firewall-Produkten angebotene ‚Stealth-Modus‘ (siehe weitere Funktionen) gesehen. Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“ antwortet, weiß ein Angreifer jedoch, dass der Rechner existiert. Ein Portscanner kann das Problem, dass Anfragen ins Timeout laufen, umgehen: Er sendet die Anfragen parallel und sammelt dann alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als „gefiltert“ angezeigt. Der Portscan wird ausgebremst aber nicht verhindert. Reguläre Programme können durch diese Strategie aber erheblich behindert werden. Zum einen warten sie auf den Timeout, weiterhin werden oft dadurch auch noch weitere Anfragen provoziert, wodurch viel unnötiger Datenverkehr entsteht. Aus diesem Grunde sollte so ein Modus nicht benutzt werden.

Viele Programme sind dem unerfahrenen Benutzer unbekannt, es wirkt oft verwirrend, wenn für unbekannte Prozesse nach einer Regel verlangt wird. Manche dieser Prozesse aber gehören zum Betriebssystem und sind für Internetverbindungen notwendig. Bei der Definition der Regeln sollte man erstmal so wenig wie möglich freigeben. Funktioniert danach eine Software nicht mehr wie erwartet, so durchsucht man das Log nach gesperrten Verbindungen und gibt diese frei. Bei unbekannten Prozessen sollte man nach weiteren Informationen forschen, um sich zu erklären wozu dieser Prozess gehört.

Manche Schadsoftware verändert vertrauenswürdige Software, um seine Schadfunktionen auszuführen. Manche Firewalls erkennen dies. Vorsicht ist also geboten, wenn die Firewall eine Veränderung an einem Programm meldet. Dies ist meist in Ordnung, wenn man zuvor ein Update dieser Software oder des Betriebssystems durchgeführt hat.

Die Windows Firewall ist Bestandteil von Windows XP. Sie wird bei der Installation des Service Packs 2 oder bei der Windowsinstallation von einem Datenträger mit integriertem (engl.: slipstreamed) Service Pack 2 automatisch aktiviert. In Standardkonfiguration blockiert sie eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste bereitstellen nach, ob sie Verbindungen zu den von diesen Programmen geöffneten Ports erlauben soll. Sie kann über das Sicherheitscenter oder über die Datei Namens NETFW.INF konfiguriert werden. Dort kann man in zwei Profilen Ausnahmelisten für bestimmte Ports und Programme erstellen.

In Standardkonfiguration hat die Windows Firewall leider einen sicherheitskritischen Fehler; dieser wurde mit der Korrektur vom 14. Dezember 2004 beseitigt.

Ihr Vorgänger, die Internet Connection Firewall (ICF) ist ein reiner Paketfilter. In den Grundeinstellungen von Windows XP ist die ICF nicht aktiviert.

Von ZoneAlarm gibt es eine für Privatanwender kostenlose Version und die kommerzielle Version ZoneAlarm Pro, die einen größeren Funktionsumfang bietet. Der Name kommt daher, dass die Personal Firewall getrennte Sicherheitseinstellungen für zwei verschiedene Zonen – eine für das lokale Netzwerk und eine für das Internet – erlaubt. Der Schwerpunkt des Produkts liegt auf einfacher Installation und Konfiguration.

Die Kerio Personal Firewall entstammt der Tiny Personal Firewall und heißt seit der Version 2.0 Kerio. Kerio bietet sein Produkt für Heimanwender ebenfalls kostenlos an. Bei der Installation erhält man zunächst eine Vollversion, die für 30 Tage getestet werden kann. Danach kann die Software als limitierte Edition weiter genutzt werden. Kerio unterstützt allerdings seit Version 4.2 die Betriebssysteme Windows 98 und ME nicht mehr.

Viele Anwender schätzen diese Personal Firewall wegen ihrer hohen Konfigurierbarkeit. Einstellungen können sehr detailliert getroffen werden. Dies bedeutet auch einen hohen Lerneffekt für den Nutzer. Die kostenlose Version von Kerio wird vom BSI empfohlen.

Die Norton Personal Firewall ist Bestandteil des kommerziellen Softwarepakets Norton Internet Security. Dieses enthält neben der Desktop-Firewall auch ein Antivirenprogramm und einen Spamfilter. Historischer Vorläufer der Norton Personal Firewall ist die Personal Firewall AtGuard von WRQ, die als Freeware zur Verfügung stand. Symantec kaufte 1999 AtGuard von WRQ. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf den Hersteller des Norton Commanders, die Firma Peter Norton Computing zurück, die 1990 von Symantec gekauft wurde.

• Sygate Personal Firewall
• Outpost

Auf nahezu allen Unix-Derivaten kann man die Funktionen einer Personal Firewall mit den mitgebrachten Werkzeugen hervorrufen. Einige Linux-Distributionen bringen dafür auch entsprechende Software zur Einrichtung mit.

• Zwicky, Cooper, Chapman, Einrichten von Internet Firewalls, O'Reilly 2001, ISBN 3897211696

• BSI über Personal Firewalls
• Lücken von Personal Firewalls
• de.comp.security.firewall-FAQ
• Reviews von Personal-Firewall-Produkten (englisch)
• Vortrag des CCC Ulm über Personal Firewalls (Video- und Audio-Aufzeichnung, Folien, Quellcode, Dokumentation)
• Problematik der Windows-Dienste in Verbindung mit Personal Firewalls
• Windows NT und XP Sicher Konfigurieren (Wie mache ich ZoneAlarm überflüssig?)

Vorlage:WikiReader Internet