Wiki/Firewall

Werkzeuge

LANGUAGES

Firewall

Eine Firewall ist ein System, das ein Computernetzwerk vor Angriffen von außen schützen soll. Gleichzeitig soll sie vor der Weitergabe sensibler Daten an das externe Netz schützen, die z.B. unbemerkt von Viren/Trojanern vorgenommen wird.

Man unterscheidet Firewalls nach den verschiedenen Punkten, an denen sie im Netzwerk eingebunden sind.

Inhaltsverzeichnis

Typen von Firewalls

Personal (Desktop) Firewall

Dies ist die bekannteste Art von Firewall. Sie wird auf dem zu schützenden Computer selbst installiert und überwacht i.d.R. mit einem Paketfilter den ein- und ausgehenden Netzwerkverkehr.

In der Tatsache, dass die Personal Firewall auf dem zu schützenden PC selbst läuft, liegt auch gleichzeitig ihre größte Schwachstelle. Ist z.B. die Firewall durch eine Sicherheitslücke kompromittierbar, wird damit ein direkter Angriff auf das gesamte System ermöglicht. Viele Viren und Trojaner schaffen es oft mit Erfolg, eine bestehende Personal Firewall zu deaktivieren bzw. zu tunneln. Daher sollte nicht der häufig zu beobachtende Fehler begangen werden, die Personal Firewall zu überschätzen.

Der Nutzen einer Personal Firewall wird in Fachkreisen kontrovers gesehen. Immerhin hatte so eine Firewall im Sommer 2004 während der Sasser-Virus-Attacke den Rechner vor der Online-Infektion geschützt, selbst wenn das Microsoft-Update gegen die Sasser-Sicherheitslücke nicht installiert war. Demgegenüber muss festgehalten werden, dass Personal Firewalls z.T. selbst Sicherheitslücken enthalten und auf diese Weise vielleicht erst einen Angriff ermöglichen.

Die größte potentielle Gefahr einer Personal Firewall liegt dagegen in der Tendenz durchschnittlicher Anwender, durch unüberlegte Vergabe von Ausnahmerechten die Firewall löchrig zu machen. Bestes Beispiel ist die Anlage einer Ausnahmeregel, damit das Filesharing bei e-donkey etc. wieder funktioniert. So ein System, was mit einem derartigen Schweizer Käse zugedeckt wird, ist jedoch sicherheitstechnisch oft schlimmer dran als ein System, wo von vornherein auf eine Personal Firewall verzichtet wird.

Der Normalanwender ist mit den penetranten Nachfragen einer Personal Firewall, ob dieser oder jener Dienst Verbindung ins Internet aufnehmen darf, häufig schlichtweg überfordert. Z.T. bereitet die richtige Konfiguration selbst Netzwerkexperten Probleme.

Eine Personal Firewall ersetzt in keinem Fall ein Virenschutzprogramm! Sie sollte zudem unbedingt ständig aktualisiert werden, um bekannte Sicherheitslücken zu patchen! Personal Firewalls werden oft als Komplettpakete im Verbund mit einem Virenschutzprogramm verkauft; ein solches Komplettpaket wird oft als "Security Suite" o.ä. bezeichnet.

Einen seriösen, unvoreingenommenen Test zu verschiedenen, bekannten Firewallprodukten lesen Sie hier: http://www.oberthal-online.de/pfw.html
Auf welch vielfältige Weise Personal Firewalls ausgetrickst werden können, lesen Sie hier: http://home.arcor.de/nhb/pf-austricksen.html

Insgesamt betrachtet ist der Schutz, der durch einen NAT-fähigen DSL-Router (dieser hat selbst eine Art Hardware-Firewall!) geboten wird, als weitaus besser einzustufen, als die dünne Eisdecke, die durch eine Personal Firewall über das System gelegt wird.

Der Sicherheitsgewinn, der allein schon dadurch entsteht, wenn man auf den Internet-Explorer zugunsten alternativer Webbrowser wie Firefox oder Opera verzichtet, ist um ein vielfaches höher einzustufen, als der vermeintliche Schutz durch das "Firewall-Security-Paket".

Weil z.B. der Webrowser durch eine Ausnahmeregel in der Firewall eigentlich alles darf (den Port 80 und den IExplore.exe möchte man ja nicht blocken), bietet eine Personal Firewall nicht den geringsten Schutz vor der Installation von Spyware, Browser-Hijackern, Active-X- oder JavaScript-Exploits.

Router mit Firewall

Die meisten besseren DSL-Router (oft mit WLAN-Schnittstelle) bieten inzwischen eingebaute Firewalls, die nach dem einfachen, aber effektiven Prinzip des "NAT"-Routing funktionieren.

Dadurch werden viele Angriffe von außen, die auf Sicherheitslücken der Windows-Betriebssysteme basieren, verhindert, weil nur der Router die externe Verbindung zum Internet herstellt, und weil auf diesem Router keine Windows-Software läuft. Wenn man so will, ist so ein Router eigentlich eine Art von "Proxy-Server", also ein Zwischenlager. Der angeschlossene PC kommuniziert nicht mehr direkt mit dem Internet, sondern über dieses Zwischenlager, was die Sicherheit des PCs enorm steigert.

Die Software dieser Router läuft auf abgeschotteter Hardware und unter besonders stabilen und abgesicherten Betriebssystemen wie z.B. Linux. Abgesehen von den Konfigurationseinstellungen ist die Routersoftware weder aus dem Internet noch durch den dahinter angeschlossenen PC beeinflußbar.

Verfügt der Router über eine W-LAN-Schnittstelle, sollte vor dem Kauf unbedingt darauf geachtet werden, dass die Verschlüsselung des internen Netzwerkverkehrs über den neueren, hacksicheren WPA2-Schlüssel erfolgt, und dass beim Einrichten der Verbindung auf keinen Fall ein simples Einfachpasswort, sondern ein möglichst langes (mindestens 32 Stellen) in Kombination aus Zahlen, Buchstaben und Sonderzeichen verwendet wird. Beachten Sie dazu die Bedienungsanleitung.

Beispiel für einen sehr schlechten WLAN-Schlüssel: 1234
Beispiel für einen guten Schlüssel: 8/hGzt50$MvmCd3a3vJ&mKlOolpR0NAb

Leider verwenden immer noch viele WLAN-Router standardmässig entweder gar keine oder aber die höchst unsichere WEP-Verschlüsselung. Daher sollte bei der Installation der Routersoftware unbedingt das Augenmerk auf die Einrichtung der WPA2-Verschlüsselung und auf ein sicheres LAN-Passwort (keinesfalls das mitgelieferte Standardpasswort verwenden...!) gerichtet werden. Es erhöht auch die Sicherheit im W-LAN, wenn den beteiligten Netzwerkkarten und Geräten eindeutige MAC-Adressen zugewiesen werden. Beachten Sie bei der Installation die Sicherheitshinweise in der Bedienungsanleitung des Routers!

Der Trend geht zu Kombigeräten, die z.T. bereits eine erweiterte, richtige Firewall mit konfigurierbarem Paketfilter anbieten, einen Schutz vor DOS-Attacken, sowie auch USB-Anschlüsse z.B. für Drucker bieten, die dann als Netzwerkdrucker betrieben werden können.

Eine solche Router-Lösung ist sicherheitstechnisch als besser einzustufen als der Windows-Desktop-PC, der direkt an ein DSL-Modem angeschlossen und lediglich über eine Personal Firewall geschützt ist. Man sollte allerdings beachten, dass der Router i.d.R. den Netzwerkverkehr nach draußen ("Outbound") nicht überwacht, sondern nur vor aktiven Angriffen von außen schützt ("Inbound"); das bedeutet, dass z.B. Spyware oder ein Trojaner durchaus Verbindung ins Internet aufnehmen können. Daher ersetzt ein Router niemals die Installation und Pflege eines Virenschutzprogramms.

Die Konfiguration von DSL-Routern geschieht meist über einen Webseiten-Dialog, z.B. bei Fritz!Box im Browser unter "http://fritz.box" aufzurufen. Beachten Sie, dass Sie aus Sicherheitsgründen bei Konfigurationsarbeiten am Router außer dem dafür vorgesehenen Browserfenster gleichzeitig keine weiteren Webseiten in anderen Fenstern oder Tabs ansurfen sollten. Lesen Sie in diesem Artikel bei Heise.de, warum. Eine speziell präparierte Webseite kann u.U. unbemerkt diesen Dialog aufrufen und Änderungen an den Einstellungen vornehmen. Z.B. können die DNS-Einstellungen für das Online-Banking auf einen Phisher-Server umgelenkt werden.

Zur Abwehr solcher Angriffe auf den Router ist es empfehlenswert, ein Kennwort für die Routerkonfiguration einzurichten. Die Fritz-Box hat z.B. standardmässig überhaupt gar kein Kennwort dafür eingerichtet! Dies muss erst im Konfig-Menü vorgenommen werden. Andere Router haben ein Standard-Passwort, das jedoch aus naheliegenden Gründen geändert werden sollte.

Beachten Sie die Sicherheitshinweise in der Bedienungsanleitung Ihres Routers!

Externe (Netzwerk-)Firewall

Eine externe Firewall läuft auf einem System, das vom zu schützenden Computer getrennt ist. Hier gibt es - je nach Anforderungen an den Datendurchsatz und an die Sicherheit - die unterschiedlichsten Lösungen an Hard- und Software.

Ein kleineres Firmennetzwerk wird bereits effektiv mit einem unter Linux betriebenen separaten Rechner betrieben, der sowohl als Router arbeiten als auch eine Firewallsoftware mit Paket- und Applikationsfiltern bieten kann. Bereits hier lassen sich umfangreiche und vielfältige Einschränkungen der Vergabe von Rechten an die Arbeitsplatzrechner verwirklichen. Es können z.B. gezielt bestimmte IP-Bereiche nullgeroutet werden, so dass die Anwendungsrechner z.B. zu als Virenschleudern bekannten Webservern keinen Kontakt aufbauen können.

Ein großes Firmennetzwerk wird i.d.R. durch mehrstufige Gateways nach außen sowie durch gesonderte Gateways zwischen einzelnen Abteilungen mit unterschiedlichen Sicherheitskompetenzen geschützt.

Sichere Rechnerkonfiguration

Eine Firewall, besonders die Personal Firewall, ersetzt nicht die gute und sichere Konfiguration des Betriebssystems. Lesen Sie zu diesem Thema auch den Artikel über die Sicherheit im Internet.

Speziell die Microsoft-Betriebssysteme zeichnen sich leider dadurch aus, dass sie eine Unzahl an Hintergrunddiensten eingerichtet haben, die alle in irgendeiner Form an offenen Ports auf Verbindungsaufnahme ins Internet lauschen. Leider werden durch die Microsoft-Betriebssysteme Dienste wie Telnet, UPnP, Remote-Assistance etc., die der Normalanwender mit allerhöchster Wahrscheinlichkeit niemals brauchen wird, bei jedem Systemstart mit gestartet. Dieses Panoptikum an Remote-Diensten wird oft zurecht kritisiert, weil durch jeden Dienst, der eine Verbindung zum Internet aufbauen kann, die Angriffsfläche für Hackerattacken vergrößert wird, und weil viele dieser Dienste durch fehlerhafte Programmierung (z.B. "buffer-overflows") kompromittierbar sind, wie es die Beispiele der Blaster- und Sasser- Wurmepidemien deutlich gezeigt haben.

Es gibt jedoch praktikable Möglichkeiten, diese Dienste auf ein absolut nötiges Maß zurückzufahren und nur solche Dienste geöffnet zu lassen, die für das Funktionieren des Systems bzw. die Verbindungsaufnahme ins Internet unerlässlich sind. Da für den Laien die Konfiguration dieser Dienste aber absolut nicht trivial ist, und weil ein kleiner Fehler beim Abschalten so eines Dienstes das gesamte System unbrauchbar machen kann, sollte man diese Konfigurationsarbeit einem dafür geeigneten Programm überlassen.

Ein solches Programm für Windows 200 bzw. XP, wenig bekannt, aber für den Laien hervorragend geeignet, finden Sie unter: http://www.dingens.org/ ("Windows-Dienste beenden") Das Programm ist jedoch entbehrlich, wenn man über einen NAT-fähigen Router mit dem Internet verbunden ist (z.B. LAN-Router Fritz!Box).

Nähere Hintergrundinfos zu 2000/XP Netzwerkdiensten hier: http://www.ntsvcfg.de/

Hier kann man sein System auf Schwachstellen testen: http://webscan.security-check.ch/




Benutzeroptionen:
 Anmelden 

 Spezialseiten 
Diese Seite wurde zuletzt am 9. Oktober 2009 um 15:33 Uhr geändert. Diese Seite wurde bisher 24.773-mal abgerufen.
   © 1999 - 2021 Antispam e. V.
Kontakt | Impressum | Datenschutz

Partnerlink: REDDOXX Anti-Spam