Firewall
Aus PC-WELT-Wiki
|
Eine Firewall schützt Ihren Rechner vor Zugriffen aus dem Internet. Wie sie das tut, erfahren Sie hier: Wir zeigen die unterschiedlichen Techniken und erklären Ihnen, welche Tools die Firewall mitbringen muss.
Eine Firewall arbeitet mit ein paar sehr einfachen und ein paar sehr komplizierten Techniken, um Ihren Computer vor Gefahren aus dem Internet zu schützen. In diesem Beitrag erfahren Sie, wie diese Techniken aussehen – und wo die Stärken und Schwächen der Tools liegen.
Die Aufgabe
Eine Firewall trennt grundsätzlich zwei Netzwerke voneinander. Auf der einen Seite befindet sich in den meisten Fällen das Internet und auf der anderen Seite etwa mehrere Rechner in einer Firma – oder ein PC daheim. Das Trennen allein ist keine große Leistung – die Firewall muss vor allem bestimmte Netzwerkverbindungen erlauben.
So arbeiten die Programme: Eine Firewall erledigt ihre Aufgabe auf der Grundlage von einfachen Regeln. So lassen sich erwünschte Verbindungen herstellen und unerwünschte blockieren. Erledigt das Tool das korrekt, schützt es den Rechner automatisch vor vielen Angriffsarten aus dem Internet. Bei einigen Programmen kommen aufwendigere Verfahren hinzu – sie blockieren den Datenstrom etwa auf Basis von Signaturen oder von dynamisch erzeugten Statustabellen.
Hard- oder Software-Firewall
Im allgemeinen Sprachgebrauch haben sich die Begriffe Hardware-Firewall und Software-Firewall zur Unterscheidung zweier Sicherungssysteme durchgesetzt.
Hardware-Firewall bezeichnet dabei einen Rechner oder ein System, auf dem Filterprogramme laufen. Bei der Hardware kann es sich um einen einfachen PC handeln, um einen Server oder auch um eine Fritzbox, also ein DSL-Modem mit entsprechender Software. Das wesentliche Merkmal liegt darin, dass die Hardware-Firewall als eigenständiges System besteht und von den zu schützenden PCs sowie dem Internet getrennt arbeitet. Nur so kommt sie korrekt ihrer Aufgabe nach, zwei Netzwerke voneinander zu trennen beziehungsweise die Datenverbindungen zu kontrollieren.
Die Software-Firewall wird oft auch als Desktop- oder Personal Firewall bezeichnet. Der wesentliche Unterschied: Sie arbeitet auf dem PC, den sie schützen soll. Daraus ergeben sich Vor- und Nachteile.
Übrigens: Wenn Sie mit einem Administrator über Firewalls reden und einen der beiden Begriffe benutzen, müssen Sie sich nicht wundern, wenn er abfällig die Nase rümpft. Für ihn ist eine Firewall weder ein Kasten noch eine Software, sondern ein ausgefeiltes Konzept, das fundierte Netzwerkkenntnisse voraussetzt, die nur ein erfahrener Administrator wie er haben kann.
Die Technik
Unsere Erklärungen zu den technischen Hintergründen von Firewalls beziehen sich immer auf Hard- und Software-Lösungen. Auf Funktionen, die es nur bei einem der Systeme gibt, weisen wir im Text hin.
Paketfilter
Die Grundfunktion jeder Firewall ist der Paketfilter. Denn für die Kommunikation in einem Netzwerk werden die gewünschten Daten – etwa eine Web-Seite, ein Download oder eine Musikdatei, in kleine Pakete zerlegt. Jedes davon enthält Informationen zu Quelle, Ziel und Länge sowie eine Paketlaufnummer. Dank dieser Struktur gelingt das Filtern recht einfach. Bei der Kommunikation mit dem Internet tauchen für Quelle und Ziel jeweils IP-Adresse und Port-Nummer auf. Der Filter liest die IP-Adressen in jedem Paket und entscheidet dann, ob er es durchlässt oder nicht. Die nötigen Regeln sind entweder schon in der Firewall hinterlegt oder werden vom Anwender vorgegeben. Ein Beispiel: Aus dem Internet kommt ein Datenpaket an, das als Quell-IP-Adresse die Nummer 192.186.10.12 trägt. Die Firewall sollte dieses Paket verwerfen, da diese IP-Adresse im Internet nicht vorkommen darf. Sie stammt aus dem IP-Bereich, der für private Netzwerke reserviert ist. Mit dem Datenpaket kann also etwas nicht stimmen. Denkbar ist zum Beispiel ein Angriffsversuch mittels IP-Spoofing, bei dem die Quell-IP gefälscht ist. Die Absicht dahinter: Sicherungssysteme wie Firewalls sollen das Paket als Info aus dem eigenen, vertrauenswürdigen Netzwerk einstufen. Üblich sind Regeln auch aufgrund von Ports: So wird etwa eine Firewall die Kommunikation über den Port 80 erlauben, da darüber Web-Seiten gesendet werden. Weitere Beispiele sind etwa die Ports für den Mail-Versand – oft 25 und 110. Datensendungen über andere Ports sind zunächst einmal verboten.
Kluger Paketfilter
Der Paketfilter (siehe oben) untersucht jedes Datenpaket einzeln. So kann er grobe Regeln anwenden. Raffinierter ist die Funktion Stateful Packet Inspection (SPI). Das ist eine dynamische Filtertechnik, die jedes Paket seinem Datenstrom zuordnen kann und damit auch den Verbindungsstatus berücksichtigt. Die Funktion analysiert die Pakete und generiert eine dynamische Statustabelle. Ein Beispiel: Fordert der Anwender den Inhalt einer Web-Seite an, so weiß die SPI-Funktion, dass es sich bei den ankommenden Paketen der Website um erwünschte Sendungen handelt. Sie dürfen also passieren. Pakete, die nicht angefordert wurden, tauchen nicht in der Statustabelle auf – die SPI-Funktion verwirft sie. Ein weiterer Vorteil: SPI erkennt DoS-Attacken (Denial of Service) schneller, denn es kann die Folge von unmotivierten Anfragen tatsächlich als Angriff einstufen. Während ein einfacher Paketfilter die einzelnen Anfragen unter Umständen an den Rechner weiterreichen würde, verwirft SPI die Pakete und erstellt eine temporäre Regel, die die Quelle der Attacke eine Zeitlang ignoriert. Die SPI-Funktion sollte in jeder Firewall integriert sein.
Anwendungsfilter
Der Anwendungsfilter beachtet neben Informationen wie IP-Adresse und Port weitere Aspekte des Datenpakets. Man muss bei dieser Funktion zwischen den Fähigkeiten einer Software- und einer Hardware-Firewall unterscheiden. Eine Software-Firewall ermittelt, welche Anwendung Datenpakete verschicken möchte. So kann der Anwender auch Regeln erstellen, die sich auf einzelne Anwendungen beziehen. Das ist einer der großen Vorteile einer Desktop-Lösung. Denn: Generell sollte zwar die Antiviren-Software verhindern, dass ein Trojaner, eine Backdoor oder ein anderes Schadprogramm aktiv wird. Gelingt das aber mal nicht, warnt eine Desktop-Firewall vor dem Verbindungsversuch des Schädlings. Für Hardware-Firewalls gibt es die Funktion Application-Firewall. Diese Funktion untersucht am Datenpaket das, was im OSI-Modell (Open Systems Interconnection) die siebte Schicht genannt wird – die Anwendungsschicht. Mehr dazu lesen Sie über www.pcwelt.de/193.
Da die Hardware-Firewall nicht auf dem System sitzt, das die Datenpakete sendet, weiß sie nicht genau, welche Anwendung die Pakete verschickt. Sie kann allerdings den Inhalt des Datenpakets analysieren und somit einen Content-Filter betreiben (siehe unten).
Content-Filter
Der Content-Filter einer Hardware-Firewall analysiert den Inhalt des Datenstroms und kann etwa Active-X-Steuerelemente oder Java-Scripts aus einer angeforderten Website löschen, bevor die Daten am PC ankommen. Auch das Blockieren von Werbung ist möglich. Technisch ist ein Content-Filter recht komplex, da für eine gründliche Analyse die Datenpakete zusammengesetzt werden müssen. Viele kleinere Hardware-Firewalls, etwa die Fritzbox, bieten einen solchen Filter nicht. Größere Geräte setzen für die Aufgabe oft einen Proxy ein, der alle Daten sammelt, analysiert und dann entsprechend den Regeln behandelt.
Intrusion Detection und Prevention
Ein Intrusion Detection System (IDS) sucht Muster im Datenstrom, die auf einen Angriff hinweisen. Das Intrusion Prevention System (IPS) versucht die gefährlichen Datenpakete zu blockieren. Die Systeme arbeiten ähnlich wie ein Virenscanner mit Signaturen. In den IDS-Signaturen sind genau die Muster enthalten, die auch jeweils ein bestimmter Angriff im Datenstrom erzeugt. Attacken mit typischem Verlauf sind somit erkennbar.
NAT – Network Address Translation
Die Funktion Network Address Translation (NAT) leistet nur eine Hardware-Firewall. Genau genommen ist NAT keine Firewall-Funktion, sondern die Aufgabe eines Routers. Er erhält bei der Einwahl ins Internet eine öffentliche IP-Adresse vom Provider. Alle PCs hinter dem Router haben eine private IP-Adresse. Fordert ein PC etwa eine Website aus dem Internet an, gibt NAT die Anfrage ans Web weiter. Anschließend erhält NAT die Site und leitet sie an den PC. Beim Anfordern tauscht die Funktion die private IP-Adresse des Rechners gegen die öffentliche des Routers aus. Umgekehrt passiert es beim Liefern der Website an den PC. Das hat zur Folge, dass die IP-Adresse des PCs im Internet gar nicht auftaucht, was ihn für Angriffe auf seine IP-Adressen unempfindlich macht. NAT ist somit ein sehr zuverlässiger Schutz gegen viele verbreitete Gefahren im Internet.
Die Grenzen
Eine Firewall erledigt eine genau definierte Aufgabe. Sie filtert den Datenstrom nach vorgegebenen Regeln. Aber viele Anwender glauben, dass sie durch den Einsatz einer Firewall vor allen Gefahren aus dem Internet geschützt sind, und gehen deshalb Risiken ein, die eine Firewall nicht abdeckt.
Das tun Firewalls, das nicht
Ein direkter Angriff aus dem Internet auf ein System, das durch eine Firewall geschützt ist, funktioniert selten. Denn dafür sind die Regeln einer Firewall zu eindeutig: Unaufgefordert zugesandte oder manipulierte Datenpakete verwirft das Schutz-Tool.
Doch arbeiten Angreifer heute mit anderen Mitteln. Oft schleusen sie Schadcode über Sicherheitslücken in Browsern ein. Diesen findet weder der Paketfilter noch das IDS. Mit viel Glück wird der Code vielleicht von Content-Filter oder IPS geblockt, aber darauf bauen kann man nicht.
Das zuständige Schutz-Tool für diesen Fall ist der Virenwächter: Er muss verhindern, dass sich der Schadcode im System einnistet. Bei neuen Viren kann aber auch der Wächter versagen.
Ein Plus von Desktop-Firewalls ist es, dass sie Schadcode melden, wenn dieser Daten ins Internet senden will. Hier kann das Tool so etwas wie die letzte Rettung sein. Hardware-Firewalls blocken solche Verbindungen übrigens nur, wenn diese über ungewöhnliche Ports stattfinden sollen. Aktuelle Schädlinge können sich aber problemlos auch über Port 80 mit dem Internet verbinden, und dieser Port ist bei fast jeder Hardware-Firewall offen, denn darüber surfen Sie Web-Seiten an.
Systembedingte Schwächen
Vor allem Desktop-Firewalls haben eine Reihe von Schwächen. Sie laufen auf demselben System, das sie schützen sollen. Dadurch sind sie und der PC für Angreifer ein einfacheres Ziel. Zum einen, da der PC mit einer öffentlichen IP-Adresse im Internet auftaucht. Bei Hardware-Firewalls ist das dank NAT (siehe oben) nicht der Fall. Zudem tauchen schon seit Jahren immer wieder Schädlinge auf, die nach ihrer Aktivierung auf dem PC als erstes die Desktop-Firewall ausschalten und erst dann Daten ins Web senden.
Außerdem kann jede Software Bugs haben. Das Installieren eines Programms – zumal eines Online-Programms – birgt somit immer das Risiko, eine neue Sicherheitslücke zu öffnen.
Diese Schwächen von Desktop-Firewalls sind systembedingt – aber nicht so gravierend, dass man deshalb auf dieses Schutz-Tool verzichten sollte.
Windows Firewall
Eine wirkungsvolle Firewall besitzt Windows XP erst seit dem Service Pack 2. Bei Vista ist alles schon dabei, was Sie für den wirkungsvollen Schutz Ihres PC gegen Angriffe aus dem Internet benötigen. Die Firewall ist nach der Installation automatisch aktiv. Sie konfigurieren sie am besten in der „klassischen Ansicht“ der Systemsteuerung über „Windows-Firewall“ und einen Klick auf „Einstellungen Ändern“.
Auf den ersten Blick unterscheidet sich die Vista-Firewall nicht vom Vorgänger. Im Dialog „Windows-Firewalleinstellungen“ aktivieren oder deaktivieren Sie den Schutz und definieren Ausnahmen für bestimmte Anwendungen. Wenn Sie beispielsweise einen Server für Online-Spiele oder einen Web-Server betreiben, können Sie über die Ausnahmen die Kommunikation von außen durch die Firewall erlauben.
Neue Funktionen in Vista: Die zusätzlichen Funktionen hat Microsoft versteckt – mit gutem Grund: Eine unbedachte Einstellung der Firewall kann schnell die Internet-Verbindung lahm legen oder den Rechner gefährden. Änderungen sollten hier also nur erfahrene Anwender vornehmen. Sie finden die erweiterten Einstellungen entweder über die Suchfunktion des Startmenüs (Suchwort „Firewall“) oder indem Sie „wf.msc“ über „Start, Ausführen“ aufrufen.
In der mittleren Spalte des Fensters sehen Sie eine Übersicht der aktuellen Einstellungen, geordnet nach „Domänenprofil“ (der PC ist Domänenmitglied in einem Firmennetz), „Privates Profil“ (lokales Netzwerk) und „Öffentliches Profil“ (Internet und andere nicht lokale Netzwerke). Welches davon Vista gerade verwendet, zeigt der Zusatz „ist aktiv“.
Eingehende Verbindungen: Standardmäßig sind in allen Profilen eingehende Verbindungen geblockt. Über die definierten Regeln lässt die Firewall Pakete für einzelne Dienste oder Protokolle passieren. Um diese Einstellungen müssen Sie sich nur in Ausnahmefällen selbst kümmern.
Versucht eine Anwendung auf das Internet zuzugreifen, öffnet sich ein Dialog, über den Sie die Firewall-Einstellungen beeinflussen. Klicken Sie einfach auf „Nicht mehr blocken“, um den Zugriff zu erlauben, oder auf „Weiterhin blocken“, um ihn zu verbieten.
Ausgehende Verbindungen: Erst einmal sind alle Verbindungen nach außen zugelassen – es sei denn, eine Regel verbietet die Übertragung. In allen Profilen ist die Kontrolle standardmäßig deaktiviert. Wenn Sie einzelnen Anwendungen den Zugriff auf das Internet verbieten möchten, klicken Sie auf „Ausgehende Regeln“ und auf der rechten Seite auf „Neue Regel“. Ein Assistent leitet Sie dann durch die notwendigen Schritte. Sie können aber auch über den Link „Windows Firewalleigenschaften“ für jedes Profil alle ausgehenden Verbindungen blocken. Über eine neue Regel erlauben Sie dann für einzelne Anwendungen den Zugriff.
