Desktop Firewall
Als Personal- oder Desktop-Firewall bezeichnet man eine lokal auf dem Computer installierte Firewallsoftware. Zu ihrer Aufgabe gehört es, bösartige und ungewollte Netzwerkzugriffe von außen auf den Computer zu unterbinden. Je nach Produkt versucht sie zudem, Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren. Die Firewallsoftware kann auch Bestandteil eines umfangreichen Softwarepaketes sein, welches neben der Firewall auch einen Malwarescanner enthält. Derartige Softwarepakete werden häufig als „Security Suite“ bezeichnet.
Eine Desktop Firewall besteht aus einem Firewallmodul und in der Regel aus erweiterten Funktionalitäten. Die Funktion des Firewallmoduls besteht nicht darin, Angriffe zu erkennen und zu verhindern. Vielmehr dient es dazu, ausschließlich auf der Ebene des Netzwerkprotokolls bestimmte Kommunikationsbeziehungen - basierend auf dem Port, dem verwendeten Protokoll, sowie der Absender- und Zieladresse - zu erlauben oder zu unterbinden. Für weitere Aufgaben sind die erweiterten Funktionalitäten einer Desktop Firewall zuständig, welche beispielsweise den Zugriff einzelner Programme auf das Netzwerk verwalten, Autostarteinträge überwachen, per Sandbox die Datei- und Systemzugriffe der Prozesse einschränken oder Netzwerkangriffe erkennen und nach Malware suchen. Sie sind zwar Bestandteil vieler Produkte und erweitern auf ihre Weise das eigene Sicherheitskonzept der jeweiligen Desktop Firewall, jedoch gehören sie nicht zum Konzept einer konventionellen Firewall.
Gelegentlich wird unter Netzwerkfachleuten argumentiert, dass selbst das Firewallmodul einer Desktop Firewall streng genommen keine Firewall ist, da eine Firewall ihrem Ursprung nach als eigenständige Netzwerkeinheit zwischen zwei Netzwerken operiert, die sie miteinander verbindet und filtert. Eine Desktop Firewall läuft dagegen direkt auf dem Gerät, deren Kommunikation sie filtern soll, und verbindet keine Netzwerke miteinander. Demgegenüber schreibt z.B. Elisabeth D. Zwicky (ISBN 3-89721-169-6, 2001, S. 34): „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“
Aufgrund ihrer lokalen Installation und der daraus resultierenden sicherheitstechnischen Grenzen, wird die Zuverlässigkeit einer Desktop Firewall unter Ethickerds als gering eingestuft.
|
Es steht jedem Leser frei, sich aktiv an dem Artikel zu beteiligen, Vorschläge zu unterbreiten und im Diskussionsbereich Kritik zu üben. Das ist ein wiki. Artikel wie dieser leben von eurer Mitarbeit. Hilf bitte mit, den Artikel aktuell zu halten. |
Ob und wann der Einsatz einer Desktop Firewall sinnvoll ist
Es gibt zwei Extreme, welche sich in der Medien- und Internetwelt besonders hervortun. Das eine Extrem vertreten meist die Hersteller der Desktop Firewalls und zahlreiche Medien. Bisweilen wird von ihnen behauptet, sämtliche Rechner seien vor Attacken eines Skriptkiddies und vor Hackern sicher, sobald die Firewallsoftware auf dem System installiert wurde. Diese Aussage ist gefährlich, denn ohne dass man sich gründlich informiert hat, kann man davon keine Hilfe und keinen Nutzen erwarten.
Das andere Extrem bilden einige Ethickerds, welche die Meinung vertreten, dass die Installation einer Desktop Firewall zusätzliche Risiken birgt, obgleich diese Produkte keinen Nutzen bringen. Abhängig vom Produkt bremst die Desktop Firewall zudem das gesamte System, zumindest aber die Netzwerkperformance, mehr oder weniger stark aus.
Zum einen resultiert die ablehnende Haltung daraus, dass einige Desktop Firewalls Funktionalitäten enthalten könnten, von denen der Anwender nichts wissen soll, was vor allem bei Closed-Source-Produkten nicht auszuschließen ist. Zahlreiche Beispiele belegen, dass mögliche Fehler in den Produkten neue Angriffspunkte für den PC schaffen können. Da viele ihrer Komponenten mit erweiterten Rechten laufen oder gar Kernelkomponenten installieren, wirken sich Programmier- und Designfehler hier besondern verheerend auf die Sicherheit und Stabilität des Systems aus. Auf diese Weise können Angriffs- und Spionagemöglichkeiten geschaffen werden, die es ohne die installierte Firewallsoftware nicht gibt. Langjährig existierende Fehler in veröffentlichen Quellcodes weisen darauf hin, dass selbst ein Open-Source-Produkt kein Garant für die Überprüfung des Codes darstellt (wenigstens aber ist hier eine Überprüfung möglich).
Zum anderen vertreten die Gegner von Desktop Firewalls meist den Standpunkt, dass der Anwender besser versuchen sollte zu begreifen, warum und unter welchen Umständen eine Anwendung auf das Netzwerk zugreift. Dies sollte er bei Bedarf durch die Konfiguration der Anwendung unterbinden. Gelingt dies nicht, ist es besser ein alternatives Produkt einzusetzen, statt zu versuchen, die Kommunikation mithilfe einer Firewallsoftware zu blockieren, die den Job aufgrund ihrer technischen Grenzen nicht zuverlässig erledigen kann.
Die Ursache zu bekämpfen scheint somit wirkungsvoll, die Symptome mit einem unzuverlässigen Mechanismus zu unterdrücken, hingegen sinnlos. Sobald der Anwender dies erkannt hat, fängt die Desktop Firewall jedoch an, sich zu einem nützlichen Werkzeug zu entwickeln. Einerseits kann sie dank der Protokollierung des Netzwerkverkehrs nun helfen, das notwendige Verständnis für das eigene System und diese Materie aufzubauen. Wobei sie richtig angewendet andererseits ein komfortables, wenngleich stark begrenztes Werkzeug für die Systemüberwachung wird. Die fachgerechte Reaktion auf ihre Warnmeldungen (konfigurieren, statt blockieren) stellt eine wesentliche Voraussetzung für deren Nützlichkeit dar. Allen voran aber braucht es dafür das Bewusstsein des Anwenders, dass eine Desktop Firewall angesichts ihrer technischen Grenzen und ihrer Unzuverlässigkeit keine unvorsichtige Arbeitsweise provozieren darf.
Sinn und Unsinn des Firewallmoduls
Solange man sicherstellen kann, dass es bei diesem Zustand auch bleibt, ergibt es keinen Sinn ein Firewallmodul einzusetzen, wenn auf dem Computer keine Programme laufen, die man aus dem Netzwerk heraus ansprechen kann. Die Deaktivierung aller (nicht benötigten) Netzwerkdienste bietet daher den besten Schutz gegen ungewollte Fernzugriffe und sollte auf jedem Computer vorgenommen werden.
Benötigt wird das Firewallmodul nur, wenn ein erforderlicher Netzwerkdienst auf dem Computer betrieben wird und der Zugriff darauf auf einige wenige Clients beschränkt werden soll. Manchmal soll auch lediglich das lokale System (localhost, die so genannte Loopback-Schnittstelle 127.0.0.1) den Dienst nutzen können, ohne dass sich die Software dahingehend konfigurieren lässt.
Auf Systemen, bei denen das Firewallmodul dabei helfen soll, den Zugriff auf einen installierten Netzwerkdienst einzuschränken, gilt um so mehr, dass keine Software ohne vorherige gründliche Recherche im Internet installiert wird, um die heimliche Installation einer Malware (Schadsoftware) möglichst auszuschließen. Denn eine Malware kann durchaus in der Lage sein, die Firewallsoftware zu deaktivieren, wodurch ein uneingeschränkter Zugriff auf die zuvor gefilterten Netzwerkdienste möglich wird, ohne dass der Anwender dies bemerkt.
Wird trotz aller Vorsicht eine Malware auf dem System aktiviert, können die Regeln des Firewallmoduls im günstigsten Fall unterbinden, dass ein heimlich reaktivierter oder installierter Dienst ungehindert vom Netzwerk aus ansprechbar ist. Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Malware abhängig. Wenn man die (mögliche) Meldung der Desktop Firewall nutzt, um reaktivierte Dienste nebst Malware gleich wieder zu entfernen, kann der Einsatz des Firewallmoduls doch lohnend gewesen sein.
Die erweiterten Funktionalitäten
Die erweiterten Funktionalitäten laufen zum Teil fernab des Netzwerkprotokolls und gehören zu einem ergänzenden und individuellen Sicherheitskonzept der jeweiligen Desktop Firewall. Um die Funktionsweise der Software aufschlüsseln zu können, ist es hilfreich, die erweiterten Funktionalitäten losgelöst vom Firewallmodul zu betrachten, was einen Vergleich der Produkte vereinfacht.
Die geläufigsten erweiterten Funktionalitäten einer Desktop Firewall stellen sich wie folgt dar:
- Das IDS (Intrusion Detection System)
- Die Netzwerkzugriffe einzelner Programme kontrollieren
- Die Systemzugriffe einzelner Programme mit einer Sandbox einschränken und überwachen
- Fragwürdige Personalprotektoren
- Werbebanner, ActiveX-Komponenten, JavaScripts, etc. aus angeforderten HTML-Seiten analysieren und herausfiltern
Grundsätzliche Angriffsmethoden auf Desktop Firewalls
Jedwede auf dem zu überwachenden System installierte Überwachungssoftware (gemeint sind Antivirenprogramme, Host-based-IDS, Desktop Firewall, etc.) vereint in ihrer lokalen Installation Segen und Fluch zugleich. Auf der einen Seite erweitert der direkte Zugriff auf das zu überwachende System die Möglichkeiten dieser Software ungemein, was sich bei einer Desktop Firewall in den erweiterten Funktionalitäten widerspiegelt, während auf der anderen Seite auch der Malware wesentlich mehr Mittel und Wege zur Verfügung stehen, diese Software zu manipulieren und zu umgehen.
Als Folge davon wirkt ihr vollmundig beworbener „Schutzwall“ bildlich gesehen wie ein Zaun von maximal einem Meter Höhe, der zwar ein durchaus vorhandenes, aber gewiss kein unüberwindbares Hindernis für eine Malware darstellt. Daher warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) und selbst Microsoft mit seinem „TechNet Magazine“ (Mai/Juni 2006) davor, dass die Desktop Firewall unerwünschte Netzwerkzugriffe von innen nur unterbinden kann, wenn sich die Schädlinge keine große Mühe geben, ihre Aktivitäten zu verbergen.
Der folgende Überblick zeigt einige Methoden, die verdeutlichen, wie man eine Desktop Firewall umgehen kann. Es ist nicht zwingend erforderlich, diese Dinge im Detail zu verstehen. Interessant sollte jedoch die Unterteilung in jene Kategorien sein, die veranschaulichen, welche Attacken sich in welchem Umfang durch eine externe Firewall verhindern ließen und welche nicht:
- Die Applikationszugriffskontrolle umgehen
- Den Stealth-Mode unterwandern
- Das Firewallmodul umgehen
- Sicherheitslücken die durch die Desktop Firewall überhaupt erst entstehen
Der perfekte Schutz
Nun sind wir an einer Stelle im Text angelangt, an dem es Zeit wird, das Wort "Schutz" in Bezug auf die Desktop Firewall aus dem Gedächtnis zu verbannen. Sie ist kein virtueller Schutzschild, wie es einem die Werbung Glauben macht. Es handelt sich hierbei lediglich um ein Hilfsmittel, also um ein Werkzeug, welches den Anwender innerhalb gewisser Grenzen dabei unterstützen kann, den Zugriff auf sein System zu überwachen. Der Anwender stellt somit das Schutzschild dar und nicht die Firewall, denn sie tut lediglich das, was der Anwender ihr sagt (vorausgesetzt, dass sie nicht umgangen wird). Damit wären wir auch schon bei dem obersten Grundsatz für den wahren Schutz eines Systems:
Q: Der perfekte Schutz, was sollte er bieten? A: Einen Anwender, der weiß, was er tut!
Zusammenfassung: Grenzen und Möglichkeiten
- All die Dinge, die man ohne Desktop Firewall nicht macht, sollte man auch mit einer installierten Desktop Firewall nicht tun, da sie den Netzwerkzugriff lediglich erkennen und unterbinden kann. Das muss ihr aber nicht zwangsläufig gelingen. Nur wenn man sich an diese Regel hält, bietet die Verwendung der Desktop Firewall einen Gewinn an Sicherheit in Form einer Kontrollinstanz für das lokale System. Sie wacht über Programme, die man auch ohne die Firewallsoftware starten würde, weil man den Programmen vertraut. Zur Überraschung offenbaren sich manchmal unerwünschte Netzwerkzugriffe von eben diesen Programmen.
- Nachdem die Kommunikation erkannt wurde, ist es wichtig, das geschwätzige Programm dahingehend zu konfigurieren, dass es keine unerwünschte Netzwerkkommunikation mehr vornimmt, statt sich auf die Firewallregel zu verlassen. Auf keinen Fall ist die Firewallsoftware dafür geeignet, diesen Zugriff auch künftig zu unterbinden. Zum einen ist nicht sichergestellt, ob ihr das bereits zu diesem Zeitpunkt vollständig gelungen ist, zum anderen können zahlreiche Ereignisse dafür sorgen, dass dieser Mechanismus jederzeit aussetzt, ohne dass der Anwender dies bemerkt.
- Die Analyse der Warnmeldungen einer Desktop Firewall erfordert mehr Übung, als es einem die Werbung glauben macht. So halten Anfänger häufig Programme für Malware, die lediglich nach Updates suchen. Umgekehrt existieren zahlreiche Tricks, um den Netzwerkzugriff der Schadsoftware als nützliche Systemanforderung zu tarnen, weshalb es zunächst schwer fällt, die „guten“ von den „bösen“ Netzwerkanfragen zu unterscheiden.
Es ist wichtig, die eigenen Anforderungen richtig einzuschätzen und diese den Möglichkeiten und Grenzen der Desktop Firewall gegenüberzustellen. In diesem Beitrag wurde lediglich Grundlagenwissen vermittelt. Auf jeden Fall empfiehlt es sich, ein Konzept für das eigene System zu entwerfen. Denn erst wenn man weiß, gegenüber welchen Szenarien man ein bestimmtes Maß an Sicherheit erreichen will, kann man sich Gedanken über das wie machen. Dann entscheidet sich auch, ob die Verwendung einer Desktop Firewall in den eigenen Händen einen Sinn ergibt oder nicht.
Siehe auch
- Firewall (der dort grau unterlegte Abschnitt versucht die Möglichkeiten und Grenzen der Desktop Firewall im Vergleich zur externen Firewall darzulegen; da es sich um eigenständige Artikel handelt, lassen sich redundante Informationen zwischen den beiden Artikeln leider nicht vermeiden)
Die folgenden Beiträge sollen das Erlernte abrunden und ein Interesse für Alternativen wecken:
- Tipps im Umgang mit Desktop Firewalls
- Tipps im Umgang mit externen Firewalls
- Tipps für Systeme ohne Firewall
Weblinks (externe Links)
- Eine interessante und leicht verständliche Bildungsseite zu Personal Firewalls des Chaos Computer Club Ulm ist als weiterführende Information zum Thema sehr zu empfehlen.
- Eine weitere Beschreibung zur Desktop Firewall findet sich bei wikipedia
- Open-Source-Firewallsoftware für Windows
- Der HaBo-Thread zum Beitrag „Desktop Firewall umgehen“.
|
