Personal Firewall

Die Neutralität dieses Artikels oder Abschnitts ist umstritten. Eine Begründung steht auf der Diskussionsseite.

Eine Personal Firewall (PFW) ist eine Software, die den ein- und ausgehenden Datenverkehr eines Hosts in einem Computernetzwerk auf der Ebene eines Anwendungsprogramms filtert (Paketfilter).

Personal Firewalls (auch "Desktop Firewalls" genannt) werden zum einen eingesetzt, um Spyware den Zugriff auf das Internet zu verbieten, zum anderen, um Zugriffe von außerhalb des eigenen Rechners oder Netzwerks auf den Computer zu verhindern.

Eine Personal Firewall verfügt über folgende Funktionen:

• Ein Paketfilter ermöglicht es, auf einem Netzwerk-Interface eingehende oder ausgehende Datenpakete gezielt zu blockieren oder durchzulassen. Filterkriterien können Quell- und Zieladresse, Quell- und Zielport sowie das Protokoll sein.

• Ein Anwendungsfilter (application control) soll es ermöglichen, einzelnen Anwendungen die Netzwerkkommunikation zu verbieten oder zu erlauben.

• Die Personal Firewall stellt dem Anwender oder Administrator ein graphisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.

Manche Produkte beinhalten einige der folgenden Features:

• Ein Content-Filter kann die Inhalte der Pakete überprüfen und beispielsweise ActiveX oder JavaScript aus angeforderten HTML-Seiten herausfiltern. Auch Filter für E-Mail-Attachements werden häufig angeboten.

• Intrusion Detection System (IDS): Die Personal Firewall kennt bestimmte Angriffsmuster. Sie versucht, Angriffe zu erkennen und meldet sie.

• Lernmodus: Die Regeln für Paketfilter und Anwendungsfilter werden durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird der Benutzer in einem Dialogfenster aufgefordert, festzulegen, ob dieser Traffic gestattet oder verboten werden soll.

• Sandboxing: Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemresourcen verweigert. Es soll verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.

• Stateful Inspection: Die Paktfilter einiger Personal Firewalls wissen um den Status einer Verbindung Bescheid. Sie können feststellen, ob ein ausgehendes oder eingehendes Datenpaket zu einer bereits bestehenden Verbindung gehört und diese Information als Filterkriterium heranziehen.

• Stealth-Modus (von engl. stealth = die Heimlichkeit): Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Dadurch soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als Security through Obscurity (Sicherheit durch Verschleierung). Manchmal kann ein Angreifer auch aus der Tatsache, dass ein Rechner auf Pings nicht antwortet, schließen, dass dieser online ist. Nämlich dann, wenn der Router des Internetdienstanbieters mit "Destination unreachable" antworten würde, wenn der Rechner offline wäre. Ein Portscanner kann das Problem, dass Anfragen ins Timeout laufen, umgehen: Er sendet die Anfragen parallel und sammelt dann alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als "gefiltert" angezeigt.

• Ein Remotezugang dient zur zentralen Admistration der Personal Firewalls auf den Endgeräten in einem Netzwerk durch den Netzwerkadministrator.

Umgangssprachlich werden die Begriffe Firewall und Personal Firewall häufig synonym eingesetzt. Eine Firewall als Sicherheitskonzept unterscheidet sich in der Regel deutlich von einer Personal Firewall.

Eine Personal Firewall wird meist auf dem benutzten Rechner installiert und gestartet. Im laufenden Betrieb fordert die Personal Firewall den Nutzer auf, Verkehr zu bestimmten Webseiten oder von bestimmten Programmen auf dem Rechner des Nutzers zuzulassen oder zu verwehren (blocken). Diese Aufforderungen erfolgen meist in Form von Popup-Fenstern. Der Nutzer entscheidet somit in der Regel sehr spontan und ohne weitere Prüung, ob Verbindungen zugelassen werden.

Dies steht im Gegensatz zu einer 'echten' Firewall. Hier wird anfangs mit einer umfassenden Sicherheitsanalyse begonnen. Aufgrund der so erhaltenen Ergebnisse werden später entsprechende Maßnahmen zur Absicherung des Netzes vorgeschlagen. Diese können beispielsweise die Installation eines Paketfilters auf einem separatem Rechner, die Aufstellung von Handlungsanweisungen von Mitarbeitern und ähnliches umfassen. Weiterhin wird eine derartige Firewall in regelmäßigen Abständen grundlegend neu geprüft und es werden neue Regeln aufgestellt.

In der Newsgroup de.comp.security.firewall sind Personal Firewalls häufig Anlass für Diskussionen und Flame Wars. Von vielen Regulars dieser Newsgroup werden Personal Firewalls als unnütz oder sogar schädlich angesehen.

Häufig genannte Kritikpunkte sind:

• Die Personal Firewall kann selbst zum Angriffsziel werden. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von Black-ICE und RealSecure Opfer des Witty-Wurms. Weiterhin werden regelmäßig Schwachstellen in Personal Firewalls bekannt, die entfernte Angriffe auf die zu schützenden Systeme ermöglichen.

• Hendrik Brummermann zeigt in dem Text "Wie Personal Firewalls ausgetrickst werden können" Möglichkeiten, die Anwendungskontrolle von Personal Firewalls zu umgehen.

• Häufig fällt das Schlagwort "Risikokompensation". Dahinter steckt die Annahme, Computeranwender würden sich leichtsinniger verhalten, wenn auf dem PC Sicherheitssoftware installiert ist. Diese Annahme wird zum einen aus Beobachtungen des Nutzerverhaltens gezogen. Ausserdem existieren Studien über das Verhalten von Autofahrern. Hier wurde ebenfalls festgestellt, dass Autofahrer den erhöhten Sicherheitseffekt durch Airbags, ABS etc. durch riskantere Fahrweise teilweise wieder zunichte machen.

• Kritisiert werden auch die Werbeversprechen mancher Hersteller: Entgegen der Behauptung von Zone-Labs mache der "Stealth Modus" den Rechner keineswegs "unsichtbar".

• Einfache Konfiguration (Lernmodus) berge die Gefahr der Fehlkonfiguration durch unerfahrene Anwender. Die Angriffsmeldungen des IDS mancher Produkte dienten vorwiegend der Eigenwerbung.

• Ein Dienst auf einem Port, der nicht verwendet wird, sollte nicht gefiltert, sondern abgeschaltet werden. Im Auslieferungszustand sollte ein Betriebssystem möglichst wenige Dienste nach aussen anbieten.

• Eine Personal Firewall ist auch nicht in der Lage, den gesamten Internetverkehr vom Hostrechner zu überwachen. Der Chaos Computer Club Ulm hat in einem Vortrag dies an verschiedenen Personal Firewalls erfolgreich getestet.

Als Lösung wird in den meisten Fällen vorgeschlagen, alle unnötigen Dienste auf dem Rechner zu beenden und ständig die neuesten Sicherheitsupdates einzuspielen. Um dem Anfänger das Beenden der Dienste zu vereinfachen, wurde ein Programm entwickelt, das diese Aufgaben erleichtert. Weiterhin wird von den Regulars der Newsgroup empfohlen, die von Windows mitgelieferte Firewall einzusetzen.

Redakteure großer Zeitschriften wie auch Microsoft und einige Internet Service Provider empfehlen dagegen ausdrücklich den Einsatz der Windows Firewall, eines NAT-Routers oder einer Personal Firewall eines Drittherstellers zur Paketfilterung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, sich auf eine Personal Firewall als alleinige Schutzmaßnahme zu verlassen. Eine klare Empfehlung, ob eine Personal Firewall auf dem PC eines Privat-Anwenders für sinnvoll gehalten wird, gibt das Amt nicht.

Wenn man sich allerdings der obigen Nachteile bewusst ist, kann eine Personal Firewall auch nützlich sein:

• Man kann viel darüber erfahren, wie die Kommunikation in Computernetzen auf technischer Seite stattfindet. Nützlich dazu sind auch Sniffer und Bücher.
• Personal Firewalls konnten einige in der Verangenheit kursierende Würmer (z.B. Sasser) erfolgreich abwehren
• Personal Firewalls erlauben zum Teil die Kontrolle des Datenverkehrs vom eigenen Rechner. Ein Teil von eventuell installierter Spyware kann dadurch erkannt werden. Des weiteren kann auch Datenverkehr von Anwendungen unterbunden werden.
• Personal Firewalls können im Gegensatz zu 'echten' Firewalls in ihre Filterregeln auch das Wissen über die Anwendung mit einbeziehen, die den Datenverkehr initiiert hat.

Die Windows Firewall ist seit Service Pack 2 Bestandteil von Windows XP. Sie wird bei der Installation des Service Packs oder bei der Windowsinstallation automatisch aktiviert. In der Defaultkonfiguration blockiert sie eingehende Verbindungen und Programme, die Server-Dienste bereitstellen. Sie kann über das Sicherheitscenter oder über die eine Datei Namens Netfw.inf konfiguriert werden. Dort kann man Ausnahmelisten für bestimmte Ports und Programme erstellen.

Ihr Vorgänger, die Internet Connection Firewall (ICF) ist ein reiner Paketfilter. In den Grundeinstellungen von Windows XP ist die ICF nicht aktiviert.

Einer der Vorteile von ZoneAlarm ist auch einer seiner Nachteile: im Gegensatz zu anderen Produkten lassen sich nur sehr wenige Einstellungen und Regeln festlegen.

Für komplexe Netzwerke ist die Personal-Firewall nicht geeignet und auch nicht vorgesehen.

• Zonelabs - Originale Seite (englisch)
• Zonealarm - Deutsche Seite

Die Kerio Personal Firewall entstammt der Tiny Personal Firewall und heißt seit der Version 2.0 Kerio.

Kerio bietet sein Produkt für Heimanwender ebenfalls kostenlos an. Bei der Installation erhält man zunächst eine Vollversion, die für 30 Tage getestet werden kann. Danach kann die Software als limitierte Edition weiter genutzt werden.

Viele Anwender schätzen diese Personal Firewall wegen ihrer hohen Konfigurierbarkeit. Viele Einstellungen können sehr detailliert getroffen werden. Dies bedeutet u.a. auch einen hohen Lerneffekt für den Nutzer.

• Kerio Personal Firewall

Die Norton Personal Firewall von Symantec geht aus der 1999 von WRQ zugekauften Firewallsoftware AtGuard hervor. Sie ist Bestandteil des Softwarepakts Norton Internet Security. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf die Firma Peter Norton Computing zurück, die 1990 von Symantec gekauft wurde.

• Sygate Personal Firewall
• Outpost

• Linkblock - Linksammelseite rund um Personal Firewalls
• Wie Personal Firewalls ausgetrickst werden können
• de.comp.security.firewall FAQ
• Windows-Dienste sicher konfigurieren
• Programm um Windows-Dienste sicher zu konfigurieren