Personal Firewall

Die Neutralität dieses Artikels oder Abschnitts ist umstritten. Eine Begründung steht auf der Diskussionsseite.

Eine Personal Firewall (PFW) ist eine Software, die den ein- und ausgehenden Datenverkehr eines Hosts in einem Computernetzwerk auf der Ebene eines Anwendungsprogramms filtert (Paketfilter).

Personal Firewalls (auch "Desktop Firewalls" genannt) werden zum einen eingesetzt, um Spyware den Zugriff auf das Internet zu verbieten, zum anderen, um Zugriffe von außerhalb des eigenen Rechners oder Netzwerks auf den Computer zu verhindern.

Eine Personal Firewall verfügt über folgende Funktionen:

• Ein Paketfilter ermöglicht es, auf einem Netzwerk-Interface eingehende oder ausgehende Datenpakete gezielt zu blockieren oder durchzulassen. Filterkriterien können Quell- und Zieladresse, Quell- und Zielport sowie das Protokoll sein.

• Ein Anwendungsfilter (application control) soll es ermöglichen, einzelnen Anwendungen die Netzwerkkommunikation zu verbieten oder zu erlauben.

• Die Personal Firewall stellt dem Anwender oder Administrator ein graphisches Frontend für die Konfiguration von Paket- und Anwendungsfilter zur Verfügung.

Manche Produkte beinhalten einige der folgenden Features:

• Ein Content-Filter kann die Inhalte der Pakete überprüfen und beispielsweise ActiveX oder JavaScript aus angeforderten HTML-Seiten herausfiltern. Auch Filter für E-Mail-Attachements werden häufig angeboten.

• Intrusion Detection System (IDS): Die Personal Firewall kennt bestimmte Angriffsmuster. Sie versucht, Angriffe zu erkennen und meldet sie.

• Lernmodus: Die Regeln für Paketfilter und Anwendungsfilter werden durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird der Benutzer in einem Dialogfenster aufgefordert, festzulegen, ob dieser Traffic gestattet oder verboten werden soll.

• Logfiles: Personal Firewalls bieten meist die Möglichkeit, das Vorgehen des Paketfilters in Logfiles zu protokollieren. So ist es möglich, Fehlern bei der Netzwerkkommunikation auf den Grund zu gehen. Auch kann man durch mit Hilfe der Protokollierung viel darüber erfahren, wie die Kommunikation in Computernetzen auf technischer Seite stattfindet. Ähnliche Funktionalität bieten Sniffer.

• Sandboxing: Einem Programm, das in einer Sandbox läuft, werden Zugriffe auf bestimmte Systemresourcen verweigert. Es soll verhindert werden, dass eine kompromittierte Anwendung Schaden am Betriebssystem anrichtet.

• Stateful Inspection: Die Paktfilter einiger Personal Firewalls wissen um den Status einer Verbindung Bescheid. Sie können feststellen, ob ein ausgehendes oder eingehendes Datenpaket zu einer bereits bestehenden Verbindung gehört und diese Information als Filterkriterium heranziehen.

• Stealth-Modus (von engl. stealth = die Heimlichkeit): Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Dadurch soll es dem Angreifer schwerer gemacht werden, Informationen über das System zu sammeln. Man bezeichnet diese Vorgangsweise als Security through Obscurity (Sicherheit durch Verschleierung). Manchmal kann ein Angreifer auch aus der Tatsache, dass ein Rechner auf Pings nicht antwortet, schließen, dass dieser online ist. Nämlich dann, wenn der Router des Internetdienstanbieters mit "Destination unreachable" antworten würde, wenn der Rechner offline wäre. Ein Portscanner kann das Problem, dass Anfragen ins Timeout laufen, umgehen: Er sendet die Anfragen parallel und sammelt dann alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als "gefiltert" angezeigt.

• Ein Remotezugang dient zur zentralen Admistration der Personal Firewalls auf den Endgeräten in einem Netzwerk durch den Netzwerkadministrator.

Ein Terminologie zum Thema gibt es nicht. Die Begriffe werden unterschiedlich, manchmal sogar widersprüchlich benutzt.

Manchmal wird die Installation auf dem Host und die damit verbundene Möglichkeit anwendungsspezifisch zu filtern als das Merkmal einer "Personal Firewall" gesehen. Eine andere Sichtweise ist, dass es sich bei einer Personal Firewall um einen Paketfilter handelt, der mit dem Benutzer interagiert. Wieder andere möchten die Funktionsvielfalt mancher Produkte (IDS, Content Filter, ...) in der Definition verankert sehen.

Häufig geben Hersteller ihrer Paketfiltersoftware oder deren Konfigurationstools den Namen Firewall. Beispiele dafür sind die Windows Firewall die SuSEfirewall oder die IP Firewall (IPFW) von FreeBSD. In Handbüchern von Personal Firewalls und Computerzeitschriften werden die Begriffe werden die Bezeichnungen Firewall und Personal Firewall häufig synonym eingesetzt. Bei Heimanwendern haben sich die Begriffe Hardwarefirewall und Softwarefirewall eingebürgert. Hardwarefirewall bezeichnet ein exteres Gerät; Softwarefirewall ist ein Synonym für Personal Firewall.

Viele Netzwerkadministratoren lehnen diese Bezeichnungen ab: Auch auf einem exteren Router läuft Software. Statt zwischen Hard- und Softwarefirewall sollte man daher zwischen "Routern mit Paketfilterfunktion" und "Hostbasierenden Paketfiltern" (HBPF) unterscheiden. Alle der oben genannten Produkte würden -- nach Meinung vieler Netzwerkadministratoren -- nicht der Bezeichnung Firewall gerecht. Eine Firewall sei ein sorgfältig geplantes und ständig gewartetes System zur Trennung von Netzbereichen. "Eine Firewall ist ein Konzept", heißt es, "und keine Software, die man sich einfach installieren kann." Die Umsetzung eines solchen Firewallkonzepts -- die (physische) Firewall -- ist standortspezifisch und besteht nur selten aus einer einzigen Komponente.

Elisabeth D. Zwicky (2001; S. 34) schreibt: "Die Welt ist voll von Leuten, die darauf bedacht sind, ihnen weiszumachen, dass etwas keine Firewall ist. [...] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt."

Von vielen wird der Sinn von Personal Firewalls jedoch auch angezweifelt, vor allem in Internetforen oder Newsgroups werden diese Programme regelmäßig nutzlos oder sogar gefährlich bezeichnet. Besonders die Newsgroup de.comp.security.firewall ist bekannt für kontroverse Diskussionen und nicht selten Flame Wars zu diesem Thema.

Häufig genannte Kritikpunkte sind:

• Die Personal Firewall kann selbst zum Angriffsziel werden. So wurden im März 2004 nicht rechtzeitig aktualisierte Versionen von Black-ICE und RealSecure Opfer des Witty-Wurms. Weiterhin werden regelmäßig Schwachstellen in Personal Firewalls bekannt, die entfernte Angriffe auf die zu schützenden Systeme ermöglichen.

• Hendrik Brummermann zeigt in dem Text "Wie Personal Firewalls ausgetrickst werden können" Möglichkeiten, die Anwendungskontrolle von Personal Firewalls zu umgehen.

• Häufig fällt das Schlagwort "Risikokompensation". Dahinter steckt die Annahme, Computeranwender würden sich leichtsinniger verhalten, wenn auf dem PC Sicherheitssoftware installiert ist. Diese Annahme wird zum einen aus Beobachtungen des Nutzerverhaltens gezogen. Ausserdem existieren Studien über das Verhalten von Autofahrern. Hier wurde ebenfalls festgestellt, dass Autofahrer den erhöhten Sicherheitseffekt durch Airbags, ABS etc. durch riskantere Fahrweise teilweise wieder zunichte machen.

• Kritisiert werden auch die Werbeversprechen mancher Hersteller: Entgegen der Behauptung von Zone-Labs mache der "Stealth Modus" den Rechner keineswegs "unsichtbar".

• Einfache Konfiguration (Lernmodus) berge die Gefahr der Fehlkonfiguration durch unerfahrene Anwender. Im laufenden Betrieb fordert die Personal Firewall den Nutzer auf, Verkehr zu bestimmten Webseiten oder von bestimmten Programmen auf dem Rechner des Nutzers zuzulassen oder zu verwehren (blocken). Diese Aufforderungen erfolgen meist in Form von Popup-Fenstern. Der Nutzer entscheidet somit in der Regel sehr spontan und ohne weitere Prüung, ob Verbindungen zugelassen werden.

• Die Angriffsmeldungen des IDS mancher Produkte dienten vorwiegend der Eigenwerbung.

• Ein Dienst auf einem Port, der nicht verwendet wird, sollte nicht gefiltert, sondern abgeschaltet werden. Im Auslieferungszustand sollte ein Betriebssystem möglichst wenige Dienste nach außen anbieten.

• Eine Personal Firewall ist auch nicht in der Lage, den gesamten Internetverkehr vom Hostrechner zu überwachen. Der Chaos Computer Club Ulm hat in einem Vortrag dies an verschiedenen Personal Firewalls erfolgreich getestet.

Als Lösung wird in den meisten Fällen vorgeschlagen, alle unnötigen Dienste auf dem Rechner zu beenden und ständig die neuesten Sicherheitsupdates einzuspielen. Um dem Anfänger das Beenden der Dienste zu vereinfachen, wurde ein Programm entwickelt, das diese Aufgaben erleichtert. Weiterhin wird von den Regulars der Newsgroup empfohlen, die von Windows mitgelieferte Firewall einzusetzen.

Redakteure großer Zeitschriften wie auch Microsoft und einige Internet Service Provider empfehlen dagegen ausdrücklich den Einsatz der Windows Firewall, eines NAT-Routers oder einer Personal Firewall eines Drittherstellers zur Paketfilterung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, sich auf eine Personal Firewall als alleinige Schutzmaßnahme zu verlassen. Eine klare Empfehlung, ob eine Personal Firewall auf dem PC eines Privat-Anwenders für sinnvoll gehalten wird, gibt das Amt nicht.

Wenn man sich allerdings der obigen Nachteile bewusst ist, kann eine Personal Firewall auch nützlich sein:

• Man kann viel darüber erfahren, wie die Kommunikation in Computernetzen auf technischer Seite stattfindet. Nützlich dazu sind auch Sniffer und Bücher.
• Personal Firewalls konnten einige in der Verangenheit kursierende Würmer (z.B. Sasser) erfolgreich abwehren
• Personal Firewalls erlauben zum Teil die Kontrolle des Datenverkehrs vom eigenen Rechner. Ein Teil von eventuell installierter Spyware kann dadurch erkannt werden. Des weiteren kann auch Datenverkehr von Anwendungen unterbunden werden.
• Personal Firewalls können im Gegensatz zu 'echten' Firewalls in ihre Filterregeln auch das Wissen über die Anwendung mit einbeziehen, die den Datenverkehr initiiert hat.

Die Windows Firewall ist seit Service Pack 2 Bestandteil von Windows XP. Sie wird bei der Installation des Service Packs 2 oder bei der Windowsinstallation von einem Datenträger mit integriertem (engl.: slipstreamed) Service Pack 2 automatisch aktiviert. In Standardkonfiguration blockiert sie eingehende Verbindungen und fragt beim Start von Programmen, die Server-Dienste bereitstellen nach, ob sie Verbindungen zu den von diesen Programmen geöffneten Ports erlauben soll. Sie kann über das Sicherheitscenter oder über die Datei Namens NETFW.INF konfiguriert werden. Dort kann man in zwei Profilen Ausnahmelisten für bestimmte Ports und Programme erstellen.

In Standardkonfiguration hat die Windows Firewall leider einen sicherheitskritischen Fehler; dieser wurde mit der Korrektur KB886185 vom 14.12.2004 beseitigt.

Ihr Vorgänger, die Internet Connection Firewall (ICF) ist ein reiner Paketfilter. In den Grundeinstellungen von Windows XP ist die ICF nicht aktiviert.

Einer der Vorteile von ZoneAlarm ist auch einer seiner Nachteile: im Gegensatz zu anderen Produkten lassen sich nur sehr wenige Einstellungen und Regeln festlegen.

Für komplexe Netzwerke ist die Personal-Firewall nicht geeignet und auch nicht vorgesehen.

• Zonelabs - Originale Seite (englisch)
• Zonealarm - Deutsche Seite

Die Kerio Personal Firewall entstammt der Tiny Personal Firewall und heißt seit der Version 2.0 Kerio.

Kerio bietet sein Produkt für Heimanwender ebenfalls kostenlos an. Bei der Installation erhält man zunächst eine Vollversion, die für 30 Tage getestet werden kann. Danach kann die Software als limitierte Edition weiter genutzt werden.

Viele Anwender schätzen diese Personal Firewall wegen ihrer hohen Konfigurierbarkeit. Viele Einstellungen können sehr detailliert getroffen werden. Dies bedeutet u.a. auch einen hohen Lerneffekt für den Nutzer.

• Kerio Personal Firewall

Die Norton Personal Firewall von Symantec geht aus der 1999 von WRQ zugekauften Firewallsoftware AtGuard hervor. Sie ist Bestandteil des Softwarepakets Norton Internet Security. Der Name Norton wird von Symantec als Konsumentenmarke benutzt. Er geht auf die Firma Peter Norton Computing zurück, die 1990 von Symantec gekauft wurde.

• Sygate Personal Firewall
• Outpost

• Zwicky, Cooper, Chapman, Einrichten von Internet Firewalls, O'Reilly 2001, ISBN 3897211696

• Linkblock - Linksammelseite rund um Personal Firewalls
• Wie Personal Firewalls ausgetrickst werden können
• de.comp.security.firewall FAQ
• Windows-Dienste sicher konfigurieren
• Programm um Windows-Dienste sicher zu konfigurieren
• [1]