Internet: Sicherheit: Firewall

Als Firewall (zu deutsch „Brandmauer“) wird ein Schutzprogramm bezeichnet, welches den Datenverkehr überwacht. Die Firewall soll vor Angriffen und vor Spionage schützen.

Der Hauptbestandteil einer Firewall ist ein Paketfilter. Der Filter analysiert alle Datenpakete bezüglich Quell- und Zieladresse, Protokoll (HTTP, POP3 usw.) sowie Quell- und Zielport. Dieser Paketfilter kann eingehende oder ausgehende Datenpakete nach vorgegebenen Regeln blockieren. Möglicherweise gefährliche Datenpakete werden nicht durchgelassen. Beispiel: Üblicherweise blockiert eine der Paketregeln eingehende Verbindungen auf Port 21. Das bedeutet, dass kein FTP-Programm Daten auf Ihrem PC ablegen kann (außer, Ihr PC hat sie angefordert).

Einfache Firewalls überwachen nur den eingehenden Datenverkehr. Sie sind nicht mehr zeitgemäß. Zwei-Wege-Firewalls überwachen zusätzlich den ausgehenden Datenverkehr. Dadurch lassen sich Schädlinge entdecken, die sich unbemerkt eingenistet haben und versuchen, ausspionierte Daten zu versenden.

Man unterscheidet generell zwei Arten von Firewalls:

• Bei einer Netzwerk-Firewall handelt es sich um eine Hardware-Lösung mit mindestens zwei LAN-Schnittstellen, welche die Aufgabe hat, ein ganzes Netzwerk zu schützen. Als eigenständiges Gerät besteht es aus Hardware, speziellem Betriebssystem und Firewall-Software. Größere Firmen haben oft eine sehr teure Hardware-Firewall im Serverraum, meist mit einem teuren Abonnement für regelmäßige automatische Updates verbunden. Eine einfache Hardware-Firewall ist in jedem DSL- und LTE-Router enthalten.

• Eine Personal-Firewall, auch als Desktop-Firewalls oder Software-Firewall bezeichnet, ist ein Programm, das auf dem zu schützenden Computer installiert wird und dessen Betriebssystem ergänzt, um diesen (und nur diesen einen) Rechner zu schützen.

Eine externe Firewall hat keinen Kontakt zu den zu schützenden PCs und „weiß“ nicht, welche Anwendungen auf jedem PC laufen. Demgegenüber hat eine Software-Firewall einen klaren Vorteil: Sie „weiß“, welches Programm von „ihrem“ PC aus auf das Internet zugreift. Eine Software-Firewall besitzt einen „Anwendungsfilter“ (Application Control), der einzelne Anwendungsprogramme gezielt von der Netzkommunikation ausschließen kann. Zusätzlich können die Regeln für den Paketfilter anwendungsabhängig gemacht werden. Dadurch kann einzelnen Anwendungen eine bestimmte Kommunikation erlaubt werden, die anderen verboten ist.

Software-Firewalls filtern den Datenverkehr auf Grundlage von White- und Blacklists. Bereits während der Installation wird eine „weiße Liste“ von Programmen und Webseiten erstellt, die als vertrauenswürdig bekannt sind und deshalb nie geblockt werden. Wenn Sie beispielsweise die Tauschbörse „eMule“ benutzen wollen, genügen wenige Klicks, und die für diese Tauschbörse nötigen speziellen „Löcher“ werden in die Firewall gebohrt. Die Software-Firewall muss ständig „dazulernen“. Sie kennt nicht alle Programme, die von den Benutzern installiert werden könnten. Es müssen also ständig neue Regeln für Paket- und Anwendungsfilter hinzugefügt werden. Es gibt zwei Möglichkeiten:

• Der Benutzer wird jedesmal gefragt, ob er eine bestimmte Aktion, die eine mögliche Bedrohung sein könnte, einmalig oder dauerhaft zulassen will. Wie würden Sie denn auf eine Meldung regieren wie „Unbekannte Anwendung versucht eine Verbindung über Port 1234 herzustellen – Zulassen oder Verweigern?“ Die richtige Antwort ist selbst für Computerprofis nicht leicht zu finden.
• Die Liste der Anwendungen wird ständig vom Hersteller der Software-Firewall aktualisiert.

Diese Liste zu pflegen ist aufwändig: Es erscheinen jeden Tag viele neue Anwendungen im Internet, und auch bei schon bekannten Anwendungen muss jede neue Version überprüft werden, ob es wesentliche Veränderungen gibt. Diesen Aufwand kann kaum jemand leisten, der seine Firewall kostenlos zur Verfügung stellt. Die Hersteller der (kostenpflichtigen) Antivirenprogramme sind in einer finanziell besseren Lage. Sie ergänzen ihr Antivirenprogramm mit einer Software-Firewall und weiteren Schutzprogrammen und verkaufen das Bündel als „Internet-Security-Paket“. Zusammen mit den täglichen Virenupdates aktualisieren sie auch die Firewall und die anderen Schutzkomponenten.

Es wird immer Programme geben, die der Firewall noch unbekannt ist. Wenn eine unbekannte Anwendung eine Verbindung ins Internet aufbauen will, werden Sie von der Firewall darüber informiert. Sie müssen dann entscheiden, ob Sie dem Programm immer, niemals oder einmalig den Zugang gewähren wollen. Je nach Ihrer Entscheidung kommt das Programm auf die weiße oder die schwarze Liste. Falls Sie nicht sicher sind und „einmalig zulassen“ wählen, werden Sie beim nächsten Versuch des Programms, ins Internet zu gehen, erneut gefragt. Gleich nach der Installation hat die Firewall viele Fragen, weil sie jedes Ihrer Programme erst kennenlernen muss. Dabei kommen auch Fragen wie diese:

• „Anwendung iexplore.exe versucht IP 192.168.178.5 Port dns(53) UDP fernzusteuern. Wollen Sie das erlauben?“ Der durchschnittliche Anwender kennt selbstverständlich alle Standardports (haha) und weiß genau, dass sich der Internet Explorer über den Standardport 53 an seinen DNS-Server wenden will, um zu einer Web-Adresse deren IP-Adresse zu erfragen. Wer hier auf „Verbieten“ klickt, kann nicht mal mehr im Internet nach Hilfe suchen, weil er den Zugang gerade selbst blockiert hat.
• „Realtec Network Driver hat ein Broadcast-Paket vom Remote-Rechner 192.168.178.5 empfangen. Möchten Sie diesem Programm den Zugriff auf das Netzwerk erlauben?“ Hier meldet der Treiber der Netzwerkkarte irgendein ominöses Broadcast-Paket. Der angebliche Remote-PC ist Ihr eigener PC, auf dem die Firewall installiert ist. Das haben Sie anhand der IP-Adresse glasklar erkannt, denn die IP-Adresse seines PCs kennt jeder Nutzer auswendig (hihi). Und Sie wissen natürlich auch, dass ein Broadcast ein Standard-Rundruf ist, mit dem sich Windows-PCs regelmäßig erkunden, ob weitere PCs verfügbar sind. Denn wenn Sie hier falsch antworten, wird Ihr PC sehr einsam bleiben.

Einfache Firewalls überwachen nur den eingehenden Datenverkehr. Falls etwas Böses die Firewall überwunden hat (vielleicht durch Ihre Fehlentscheidung) und sich einnisten konnte, spielt eine Zwei-Wege-Firewall ihre Vorteile aus: Sie überwacht zusätzlich den ausgehenden Datenverkehr. Damit lassen sich Schädlinge entdecken, die nun versuchen, ausspionierte Daten zu versenden. Dadurch erfahren Sie, dass der Schutz versagt hat und es Zeit wird, Windows neu zu installieren.

Selbstschutz Bearbeiten

Die Hacker wissen natürlich, dass der größte Teil der Nutzer eine Firewall installiert hat. Folglich entwickeln sie Schadensprogramme, die sie Ihnen etwa per Mail oder als Trojaner unterschieben. Nach dem Eindringen wird als Erstes Ihre Firewall deaktiviert: Entweder vollständig, was auffallen könnte, oder durch Hinzufügen von Regeln, die dem Angreifer erlauben, ungestört Daten nach draußen zu senden und Befehle entgegenzunehmen.

Eine Firewall muss sich also auch vor Angriffen von innen schützen. Ein Angreifer darf sie nicht deaktivieren, löschen oder manipulieren können. Sonst könnte ein Backdoor-Programm einfach die Firewall lahmlegen, bevor es mit seiner Spionage beginnt. Viele erfolgreiche Viren setzen bereits auf diese Strategie. Am trickreichsten ist dabei die Manipulation der Firewall-Konfiguration: Der Schädling gibt sich selbst im Anwendungsfilter alle nötigen Rechte und sendet dann ungehindert nach draußen. Die Firewall bleibt voll funktionstüchtig − der Anwender merkt von den Aktionen meist nichts. Die Firewall muss solche Manipulationsversuche verhindern oder zumindest eine genaue Fehlermeldung ausgeben.

In der Wikipedia steht im Artikel „Firewall“ im Abschnitt „Grenzen“: Ein „Erfolg der Firewall-Software ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (in Fachartikeln aus Microsofts TechNet Magazine und der c’t wird davor gewarnt, dass die Personal Firewall unerwünschte Netzwerkzugriffe nur unterbinden kann, wenn sich die Schadsoftware keine große Mühe gibt, ihre Aktivitäten zu verbergen).“

Mehr zum fraglichen Nutzen von Firewalls:

• http://technet.microsoft.com/de-de/magazine/2006.05.securitymyths(en-us).aspx
• http://www.heise.de/newsticker/meldung/ZoneAlarm-im-Kreuzfeuer-168262.html

Vertrauen Bearbeiten

Sie wollen eine Firewall herunterladen und installieren, aber können Sie dem Anbieter vertrauen? Eine Firewall befindet sich in einer unvergleichlich günstigen Position, um Ihren PC auszuspionieren. ZoneAlarm, die nach eigenen Angaben führende Firewall (unter den kostenlosen), wurde 2006 dabei „erwischt“, selbst verschlüsselte Daten zu versenden. Eigentlich soll eine Firewall genau das verhindern: Dass heimlich irgendwelche Daten Ihren PC verlassen. Ist ZoneAlarm von der NSA unterwandert? Angeblich war es „nur“ ein Programmfehler.

Die Windows-Firewall Bearbeiten

Microsoft hat seit Windows Vista sein Betriebssystem mit einer einfachen Desktop-Firewall ausgestattet. Unter „System“ → „System und Sicherheit“ → „Windows-Firewall“ kann man sie konfigurieren oder auch deaktivieren. Sollte man diese Firewall benutzen?

Die Firewall ist sehr gut ins Betriebssystem integriert und wird automatisch aktualisiert. In Vergleichstests belegt sie zwar nur mittlere Plätze, doch immerhin verlangsamt sie den PC nicht. Eine Lösung, die nichts kostet − weder Geld noch Rechenleistung − und einen Basisschutz bietet, empfehle ich, aktiviert zu lassen. Außer Sie installieren ein Internet Security Programm und Sie werden dabei ausdrücklich aufgefordert, die Windows Firewall zu deaktivieren.

Ist eine Firewall nicht unnötig, wenn der PC von einem Router geschützt wird?

Zum einen steckt nicht in jedem Router eine gleich gute Firewall. Zweitens sind Angriffe über WLAN oder LAN unter Umgehung des Routers möglich. Drittens: Wenn einer der PCs im lokalen Netz infiziert ist oder jemand einen infizierten USB-Stick einstöpselt, können die restlichen PCs des Netzwerks nur noch von ihrer eigenen Desktop-Firewall geschützt werden.

Hardware-Firewalls werden als eigenes Gerät zwischen dem Internetanschluss und dem Router angeschlossen. Sie funktionieren nach dem Prinzip, dass sie nur diejenigen Daten aus dem Internet zum PC durchlassen, die der Benutzer „bestellt“ hat. Die Netzwerkpakete werden nach Regeln untersucht, welche die folgenden Parameter analysieren:

• Richtung der Paketübertragung,
• Protokoll, das zur Paketübertragung verwendet wird,
• Ausgangs- oder Zielport des Pakets.

Angreifende Internetwürmer und andere Schädlinge können die Firewall nicht überwinden. Hardware-Firewalls beeinträchtigen weder Windows noch die Internetgeschwindigkeit. Allerdings behindern sie auch den Benutzer in keiner Weise, wenn er auf „Download Malware“ klickt oder einen infizierten E-Mail-Anhang öffnet.

Die Konfiguration einer Firewall kann bei Bedarf verändert werden. In der Standardkonfiguration kann das nur aus dem geschützten Netz heraus geschehen. Um die Fernwartung zu ermöglichen, kann die Einwahl in das Konfigurationsmenü über das Internet erlaubt werden. Das vom Hersteller vergebene Passwort sollte unbedingt geändert werden, damit kein Hacker Ihre Firewall umprogrammieren oder deaktivieren kann. Für spezielle Anwendungen wie beispielsweise Tauschbörsen muss die Schutzfunktion der Firewall mit einer sogenannten „Portfreigabe“ teilweise umgangen werden. Dabei sollte man nur so viele Ports wie unabdingbar öffnen. Wie man einen Router sicher einrichtet, kann man hier nachlesen.

Funktionsweise von Hardware-Firewalls: http://www.netzwelt.de/news/72750-dmz-nat-co-.html

Hardware-Firewalls schützen die angeschlossenen PCs bereits in der Grundeinstellung recht gut. Insbesondere der Schutz vor Direktangriffen von Internetwürmern ist perfekt. Ein großer Vorteil: Das Grundprogramm befindet sich im Festwertspeicher (ROM) und kann nicht durch aus dem Internet kommende Angriffe abgeschaltet werden. Mit einem Konfigurationsmenü kann man den Schutz noch verbessern oder auch durchlöchern. Die „Paketregeln“ sind unabhängig von den installierten Programmen.

Demgegenüber hat eine Desktop-Firewall eine prinzipielle konzeptionelle Schwäche. Einige der zu schützenden Komponenten sind von einem potenziellen Schädling bereits durchlaufen, bevor die Firewall eine Chance hat, einzugreifen. Geeignet programmierte Schadsoftware kann sich „am Eingang“ des Systems festsetzen, gewissermaßen vor der Firewall, ohne dass die Firewall etwas bemerkt. Anschaulich gesagt: Die Personal Firewall kann einen Einbrecher nicht vor der Wohnungstür aufhalten, sondern muss ihn erst in die Wohnung hineinlassen, um ihn zu beurteilen und gegebenenfalls rauswerfen zu können. Ein fragwürdiges Konzept.

Darüber hinaus hat die Firewall keine höheren Rechte als ein eindringender Schädling und kann sich selbst nicht zuverlässig schützen. Für einen Hacker ist es kaum ein Unterschied im Schwierigkeitsgrad, ob er einen Angriff auf die Firewall oder auf das Betriebssystem programmiert. Der Schutzgrad hängt wesentlich von der Aufmerksamkeit und Sorgfalt des Benutzers ab.

Wofür braucht man Ports?

Oft wollen mehrere Anwendungen gleichzeitig kommunizieren. Man kann gleichzeitig E-Mails abholen, im Web surfen und sogar mehrere Downloads gleichzeitig herunterladen. Datenpakete, die von verschiedenen Anwendungen angefordert wurden, treffen in zufälliger Reihenfolge ein. Um jedes Datenpaket zur richtigen Anwendung zu schicken, werden die Port-Nummern verwendet.

Woher weiß das eigene Betriebssystem oder das des Webservers, an welche Anwendung es das Datenpaket weitergeben soll? Jede Internet-Anwendung muss sich beim Betriebssystem anmelden. Das Betriebssystem speichert in der Registry die Portnummern jeder Anwendung. Alle eintreffenden Datenpakete enthalten außer der IP-Adresse des PCs zusätzlich die Port-Nummer des Empfängers.

Wenn die Datenpakete ihr Ziel erreichen, z. B. einen Webserver, öffnet dessen Betriebssystem die Pakete, setzt „mehrteilige Briefe“ zu einem ganzen zusammen und reicht den eigentlichen Brief weiter an das Programm „Webserver“. Dieses Programm analysiert das Datenpaket und schickt als Antwort meist eine Webseite zurück, die vom Betriebssystem des Webservers in Datenpakete zerlegt und dann verschickt wird. In Ihrem PC baut dann ein Browser die Anzeige der Webseite zusammen.

Ein Browser z.B. informiert das Betriebssystem, dass er Datenpakete mit der Port-Nummer 80 verarbeiten kann. Wenn das Betriebssystem nun Datenpakete mit Port 80 als Empfänger-Port-Nummer empfängt, dann leitet es diese Datenpakete an den Browser, der dann diese Datenpakete bearbeitet (anzeigt).

Der Unterschied zwischen Webserver und Webbrowser liegt darin, dass ein Webserver-Programm wirklich alle Datenpakete bekommt, die als Empfänger-Port-Nummer die Nummer 80 haben. Ein solches Programm nennt man auch Server oder Dienst, und der Port ist „offen“. Der Browser auf Ihrem PC empfängt auch Datenpakete mit Port-Nummer 80, doch nur Antwortdatenpakete, ein solches Programm nennt man auch Client. Der Port 80 des Clients gilt nicht als geöffnet, weil nur Antworten angenommen werden − keine Anfragen.

Wenn man Ports schließen möchte, braucht man nur die Anwendungen beenden, die sich beim Betriebssystem zum Empfang von Paketen angemeldet haben.

Sind offene Ports gefährlich? Ein offener Port bedeutet ja, dass eine Anwendung bereit ist, Pakete beliebigen Inhalts zu empfangen, wenn nur die Port-Nummer richtig ist. Nun haben leider alle Anwendungen eine Menge Programmfehler, bei einigen davon handelt es sich um Sicherheitslücken. Schickt man der Anwendung speziell präparierte Datenpakete, können Sicherheitslücken ausgenutzt werden, um Schaden anzurichten.

Weil jede Anwendung Fehler enthält, von denen manche nur einigen Hackern bekannt sind, wird empfohlen, möglichst alle Ports zu schließen. Wenn keine Anwendung Daten verarbeitet, die von außen kommen, kann auch kein Fehler in diesen Anwendungen von einem Angreifer oder von einem Wurm ausgenutzt werden.

Übrigens scannt die NSA sämtliche Rechner ganzer Länder vorsorglich nach offenen Ports, berichtete Snowden. Dadurch spart die NSA viel Zeit, wenn sie direkt oder auf Umwegen auf einen gewünschten Rechner zugreifen will.

• Die grundlegenden Firewallfunktionen werden vom Router und der Windows-Firewall umgesetzt.
• Wenn man sich vernünftig verhält, braucht man zusätzlich zum Router und zur Windows-Firewall keine weitere Firewall. Siehe http://www.ntsvcfg.de/#pfw und http://www.chip.de/artikel/c1_artikel_28850104.html
• Firewall-Software enthält Sicherheitslücken wie jede Software und bietet selbst einen Angriffspunkt für Malware.
• Jede Firewall nervt stark, zudem wird das Betriebssystem unnötig komplex.
• Es gibt zahllose Möglichkeiten, eine Firewall auszutricksen: Siehe http://home.arcor.de/nhb/pf-austricksen.html
• Eine Firewall gibt dem Nutzer ein falsches Gefühl der Sicherheit, selbst wenn sie inzwischen gehackt wurde.
• Umfangreicher Vergleichstest von Desktop-Firewalls mit dem Ergebnis, dass es unsinnig ist, diese zu installieren: http://www.oberthal-online.de/pfw.html

Wer sich hinter einem DSL-Router versteckt, seinen Browser sicher einstellt, ohne Administrator-Rechte surft und verdächtige Webseiten meidet, wird einen PC ohne E-Mail-Aktivität kaum infizieren können. Eine Desktop-Firewall kann die Sicherheit möglicherweise etwas erhöhen, sollte aber keinesfalls dazu verleiten, Risiken einzugehen. Wer eine Desktop-Firewall nur deswegen benutzen will, um zu sehen, welche Programme mit dem Internet kommunizieren, kann stattdessen das Programm TCP-View verwenden.

Doch manche Computer (und Mobilgeräte) gehen über ein Modem ins Internet − ohne einen schützenden DSL- oder LTE-Router. Für diese Geräte kann ein Schutz durch eine Desktop-Firewall sinnvoll sein.