Warum eine Firewall und welche für Vista?
(Stand: Juni 2009)
Unter den sicherheitsrelevanten Tools für unseren an das Internet angeschlossenen PC ist die Firewall wohl dasjenige, über dessen Nutzen und Einsatz am häufigsten diskutiert wird. In dem Artikel "Wie man den PC im Internet standfest macht" (Oktober 2006) wurde für Rechner mit Windows 98 bis XP ein auch heute noch gültiges Schutzkonzept vorgestellt, das hier unter besonderer Berücksichtigung des zwischenzeitlich verbreiteten Betriebssystems
Windows Vista aktualisiert und um Betrachtungen zum Schutz vor aktuellen Bedrohungen aus dem Internet erweitert wird. Es soll versucht werden, die diesbezügliche Rolle einer Firewall zu klären, ihre Möglichkeiten und Grenzen zu bestimmen und ein Konzept mit praktischen Lösungen zu entwickeln, das zur Sicherheit und zum Schutz persönlicher Daten beiträgt.
Wie entstanden Firewalls?
Als nach den ersten, vorwiegend für militärische Zwecke und für Behörden entwickelten Netzen das Internet in den 90er Jahren Verbreitung erlangte, wurde der bereits seit rund 10 Jahren bestehende Desktop-PC vom bis dahin isolierten Rechner zum Tor zu einer erdumspannenden Kommunikation. Es dauerte nicht lange, bis Schwachstellen des Systems entdeckt und Angriffe auf Firmennetze und private Rechner bekannt wurden. Seitdem ist die durch Viren, "Trojanische Pferde" (auch kurz Trojaner genannt), Spyware, Hacker usw. verursachte Gefährdung eine ständige Sorge der Anwender und es wurden Tools entwickelt, die diese Gefahren abwenden sollten. Bald wurde es allgemein akzeptiert, dass ein Virenscanner einfach zum PC gehört, um kein Opfer der ständig zunehmenden Virenflut zu werden. Die Leistung eines Virenscanners ist hauptsächlich durch treffende Viren-Definitionen bzw. Signaturen des Herstellers und deren schnelle Updates bei neu auftauchenden Viren bestimmt. Wenn das Programm im laufenden oder auf Wunsch durchgeführten Scan mit dieser schwarzen Liste übereinstimmende Spuren in unserem Rechner entdeckt, schlägt es Alarm und wir müssen entscheiden, was mit der mutmaßlich infizierten Datei geschehen soll. Eine Firewall, die eine gänzlich andere, den Datenverkehr zwischen Rechner und Internet überwachende und regelnde Aufgabe verfolgt, sollte jedoch von dem Anwender individuell konfiguriert, zumindest angepasst werden, da privat benutzte Rechner unter den unterschiedlichsten Bedingungen arbeiten. Um allen möglichen Szenarien gerecht zu werden, kann der Hersteller bestenfalls allgemeingültige Grundregeln definieren, die zwangsläufig oft permissiver sind, als es im Einzelfall erforderlich ist.
Während für die Schutzwirkung eines Virenscanners der Hersteller verantwortlich zeichnet, ist der Schutz auch der technisch besten Firewall nur so gut, wie sie für den individuellen Einsatz konfiguriert ist, wobei es keine Rolle spielt, ob dieses Konfigurieren automatisch geschieht oder durch den Anwender erfolgt. Dieser ungewisse Faktor dürfte wohl auch einer der Gründe für die unaufhörliche Diskussion um den Nutzen einer Firewall sein. Bei Testberichten über Firewalls ist zu berücksichtigen, dass die Tests i.A. mit der vom Hersteller vorkonfigurierten bzw. bei der Installation automatisch erfolgten Einstellung durchgeführt werden und daher potentielle Leistungen des Produkts u.U. nicht erfasst werden. Andererseits würde diese Situation auf den User zutreffen, der die Firewall installiert, ohne sich danach weiter darum zu kümmern.
Firewalls wurden als "Brandmauer" zunächst als Hardware-Module zwischen interne Netze und Internet-Anschluss geschaltet und später als Software- bzw. Desktop-Firewall oder Personal Firewall für private, einzelne Rechner populär. Die Vorfahren vieler heute noch erfolgreicher, wenn auch oft bereits unter anderem Namen angebotener Personal Firewalls wurden um die Jahrtausendwende entwickelt, als die damaligen MS-Betriebssysteme noch ohne Firewall geliefert wurden, obwohl ihr Einsatz beim Surfen bereits unentbehrlich war. Erst mit
Service Pack 2 wurde in Windows XP erstmalig eine Firewall für den Schutz vor unmittelbaren Gefahren aus dem Internet integriert, die aber auf Grund des Angebots an leistungsfähigen Fremdprodukten damals nur geringen Anklang fand, nun aber in Vista weiterentwickelt zur Verfügung steht.
Neuerdings erweitern einige Hersteller ihre Firewall um weitere Funktionen, die z.B. wie ein HIPS (Host Intrusion Prevention System) das Installieren und/oder Starten von Programmen überwachen oder die wie ein Web-Filter den Datenaustausch mit Websites filtern, weshalb die ohnehin nicht eindeutig benutzten Termini "Firewall" und "Personal Firewall" den tatsächlichen Funktionsumfang nicht klar abgrenzen. Daneben geht der Trend zur sogenannten Suite, die dem Kunden mit Firewall, Antivirus, HIPS usw. einen weitgehend automatisierten Komplettschutz bieten will. Obwohl alle diese Funktionen zum Schutz beitragen, wollen wir in den folgenden Betrachtungen eine klare Abgrenzung vornehmen und uns bezüglich der Personal Firewall zunächst auf ihre eigentliche Aufgabe beschränken, nämlich das Überwachen und Regeln des Datenverkehrs zwischen unserem Rechner und dem Internet.
Warum nun weiter über die Firewall diskutieren, wenn sie bereits mit Windows geliefert wird?
Um ihren Zweck erfüllen zu können, müsste eine konsequente Firewall uns zumindest anfänglich entscheidende Fragen stellen (damit sie im interaktiven Frage- bzw. Lernmodus ihr Szenario kennen lernt), deren korrekte Beantwortung ein gewisses Verständnis der Vorgänge voraussetzt. Um die Kunden nicht mit häufigen Meldungen zu erschrecken, wurde bei der in Vista integrierten Firewall ein Kompromiss geschlossen, indem sie einerseits vor unmittelbaren Gefahren aus dem Internet schützt und andererseits den Anwender nicht mit auf den ersten Blick oft unverständlichen Fragen belästigt. So werden - ohne interaktiven Lernmodus - vom Internet eingehende Verbindungen mit Ausnahme der in einer vorkonfigurierten Regelliste zugelassenen Verbindungen gesperrt und von unserem PC ausgehende Verbindungen mit Ausnahme der in einer Anwendungsliste verbotenen Verbindungen generell erlaubt (nachfolgend wird näher erklärt, was das bedeutet).
Einen individuell auf unsere Bedürfnisse zugeschnittenen Schutz und eine umfassendere Kontrolle über die Verbindungen unseres PC mit dem Internet können wir jedoch mit einer leistungsfähigen Personal Firewall erzielen, zumal die in XP-SP2 und Vista integrierte Firewall dem Anwender nicht leicht zugänglich ist und auch nicht alle wünschenswerten Konfigurationsmöglichkeiten bietet, dafür aber eben unauffällig ihren Dienst verrichtet.
Wie funktioniert eine Personal Firewall?
Stellen wir uns ein großes Bürogebäude vor, in dem viele Unternehmen tätig sind. Einige Großunternehmen verfügen über eine oder mehrere, z.T. seit den Anfängen des Gebäudes bestimmten Aufgaben vorbehaltene Türen (z.B. für ein- und ausgehende Post), andere kleinere Unternehmen müssen jedoch u.U. bei ähnlicher Aufgabe einige dieser Türen oder auch andere evtl. gemeinsam mit weiteren Unternehmen benutzen, um auf die Gänge zu gelangen, die schließlich zum einzigen Hauptportal führen, das die Verbindung zur Außenwelt darstellt. Sowohl für interne als auch externe Empfänger bestimmte Information werde von Boten in Paketen durch dieses Netzwerk übermittelt.
Es liegt auf der Hand, dass im Sinne der Sicherheit der Zugang zu dem Gebäude und den Unternehmen überwacht werden muss (Schutz vor Eindringlingen, unliebsamen Besuchern usw.) und dass auch kontrolliert werden sollte, wer welche Information wohin aus dem Gebäude herausträgt (Schutz vor Spionage, Diebstahl usw.). Diese Kontrolle kann ein Wachdienst je nach Sicherheitsbedürfnis bzw. Gefährdung individuellen Regeln gemäß vornehmen, wobei er einige Grundregeln empfehlen wird (z.B. keine unbekannten oder gefährlich eingestuften Individuen einlassen). Individuelle Regeln hinsichtlich der erlaubten Türen, Pakete und der diesbezüglichen Befugnisse der einzelnen Unternehmen hat der für das Gebäude zuständige Sicherheitsbeauftragte festzulegen und die Wächter haben ihn immer dann zu fragen, wenn sie in einem bisher ungeregelten Fall (etwa ein neues oder erstmalig auftretendes Unternehmen oder unbekannte Informationsempfänger) noch nicht wissen, wie zu verfahren ist.
Auf unseren PC übertragen sprechen wir analog von der Hardware mit Betriebssystem (Gebäude) mit vorbestimmten Ports (Türen), die es den Anwendungen (Unternehmen) den ihn zustehenden Rechten gemäß ermöglichen, durch das Netzwerk mit anderen Anwendungen und über das Modem (Hauptportal) mit dem Server und Internet (Außenwelt) Datenpakete (Information) auszutauschen, wobei die Firewall (Wachdienst) den von uns (Sicherheitsbeauftragter) aufgestellten Regeln gemäß bzw. im Zweifelsfall nach Anfrage (Lernmodus) die Kontrolle über diesen Datenverkehr zu übernehmen hat.
Welche Information benötigen wir für eine umfassende Kontrolle?
a) Richtung des Pakets (eingehend / ausgehend).
b) Art (Protokoll) des Datenpakets (interne / externe Information, Koordinierungsdaten).
c) Port, von dem das Paket lokal ausgeht.
d) Adresse und Port, bei denen das Paket eingehen soll (Empfänger).
e) Lokaler Absender des Pakets (Anwendung, Programm).
Falls für einen individuellen Fall noch keine eindeutige Regel vorliegt, wird uns dann die Frage gestellt, ob wir unter diesen Bedingungen den Transport des Pakets entweder nur dieses mal oder durch eine entsprechende Regel immer gestatten oder verbieten wollen.
Zum Glück ist die Angelegenheit nicht so schwierig, wie es auf den ersten Blick erscheint. Dem vorgegebenem Einsatz des PC entsprechend gibt es Grundregeln für den Schutz vor externen Gefahren, wobei es im Zweifelsfall empfehlenswert ist, mit einer eher zu restriktiven Regelliste zu beginnen und dann - falls die gewünschte Verbindung nicht zustande kommt - die von der Firewall registrierten gesperrten Verbindungsversuche einzusehen und einzelne Ports oder Anwendungen versuchsweise wieder freizugeben. Beginnt man dagegen mit einem "offenen Haus" (unnötige Ports geöffnet, aus- und eingehender Verkehr uneingeschränkt gestattet), werden wir wohl zunächst problemlos surfen können, aber unsere Freude kann bald getrübt werden, wenn Malware (Sammelbegriff für unerwünschte, schädliche Software, z.B. Viren, Spyware, Adware usw.) eingeschleust oder bereits Information gestohlen wird. Statistiken zufolge [1] kann dies ohne jeden Schutz in kürzester Zeit geschehen!
Gehen wir daher etwas näher auf die Angaben ein, die uns die Firewall bei einem noch nicht in einer Regel erfassten Verbindungsantrag mitteilen wird:
Zu a): "Ausgehend" (outgoing, je nach Firewall auch: outbound, act as client, source) und "Eingehend" (incoming, analog auch: inbound, act as server, destination) bezeichnen, wer den Verbindungsantrag stellt und wer ihn bearbeiten soll, d.h. wer als "Client" und "Server" fungiert. In Bezug auf das externe Internet soll unser PC als Client fungieren, d.h. wir alleine wollen bestimmen, was der Server für uns zu erledigen hat. Diese Funktion geht also von unserem PC aus. Würde unser PC dagegen z.B. in einem internen Netz auch als Server fungieren, müsste er die von den an dieses Netz angeschlossenen Rechnern ausgehenden Anfragen bedienen, die bei ihm eingehen. Ohne jede Einschränkung des eingehenden Datenverkehrs könnte unser PC im schlimmsten Fall sogar beliebige eingehende Anfragen aus dem Internet bedienen und damit leicht zum Opfer eines Hackers werden! Daraus geht hervor, dass wir bei einem einzelnen an das Internet angeschlossenen Rechner im Normalfall eingehende externe Pakete einzuschränken haben.
Zu b): Ein Paket kann Information enthalten, die auf Grund ihres Protokolls (des dafür vereinbarten formellen Aufbaus) entweder für anwendungsspezifischen Gebrauch (z.B. UDP, User Datagram Protocol) oder für einen externen Empfänger im Internet (IP, Internet Protocol; TCP, Transmission Control Protocol) bestimmt ist. Besondere Protokolle (ICMP, Internet Control Message Protocol; ARP, Address Resolution Protocol) dienen u.a. zur Koordinierung des Datenverkehrs zwischen den an der Übertragung beteiligten Stellen, z.B. ob der Server verfügbar ist (Ping), antwortet (Echo) usw.
Zu c): Der Port, von dem ein Paket auf lokaler Ebene ausgeht, gibt bereits einen gewissen Aufschluss über die Funktion, die das Paket zu erfüllen hat, da einige Ports vereinbarungsgemäß bestimmten Aufgaben vorbehalten sind. Als Beispiel seien wesentliche Service-Ports genannt, über die der Datenverkehr freizugeben ist, damit die bei einem typisch für Internet und E-Mail benutzten Rechner benötigten Verbindungen überhaupt zustande kommen können:
20,21: FTP (Dateiübertragung); Protokoll: TCP; Richtung: ausgehend.
25: SMTP (E-Mail-Sendung); Protokoll: TCP; Richtung: ausgehend.
53: DNS (Domain-Namen-Auflösung); Protokoll: UDP; Richtung: aus- und eingehend.
67,68: DHCP (Dynamische Host-Konfiguration); Protokoll: UDP; Richtung: aus- und eingehend.
80: HTTP (Web); Protokoll: TCP; Richtung: ausgehend.
110: POP3 (E-Mail-Abruf); Protokoll: TCP; Richtung: ausgehend.
443: HTTPS (Sicheres Web); Protokoll: TCP; Richtung: ausgehend.
Wir ersehen aus dieser Aufstellung, dass für die genannte Aufgabenstellung bisher nur in zwei Fällen eingehende Pakete benötigt werden.
Und nun einige Ports, die wir bei einem einzeln betriebenen Rechner nicht benutzen, da sie für den gemeinsamen Zugriff auf Dateien in einem Netzwerk vorgesehen sind. Sie sind normalerweise von Windows aus geöffnet und stellen daher beliebte Angriffspunkte dar, so dass wir den Datenverkehr darüber unbedingt sperren sollten:
135,
137 bis
139 und
445 (MS File Sharing): Protokoll: UDP und TCP; Richtung: aus- und eingehend.
Zu d): Zieladresse und Zielport geben eindeutige Auskunft über den vorgesehenen Empfänger des Pakets. Meist können Firewalls außer der numerischen IP-Adresse auch mehr oder weniger explizit den Namen des Empfängers angeben.
Die unter a) bis d) genannte Information, also Richtung und Protokoll, Ausgangsport, Zieladresse und Zielport wird von allen brauchbaren Firewalls erfasst und in ihrer Frage zu einem bisher unbekannten Verbindungsantrag angegeben, womit die Aufgabe einer Paketfilter-Firewall erfüllt wäre. Damit ist es uns möglich, die Regeln für ein- und ausgehenden Datenverkehr zu editieren, potentiell gefährliche, eingehende Pakete zu sperren (inbound protection) und unseren Rechner "stealth" zu machen, also im Internet weitgehend zu verbergen, um Angreifern möglichst wenige Schwachstellen zu bieten. Was aus dieser Information noch nicht hervorgeht, ist der genau identifizierte Absender eines von unserem PC ausgehenden Pakets.
Warum interessiert uns der lokale Absender, wenn er ohnehin in unserem Rechner sitzt?
Zu e): Stellen wir uns nochmals den Fall unseres Beispiels vor, in dem ein Großunternehmen über mehrere, bestimmten Aufgaben zugewiesene Türen verfügt, die bei ähnlicher Aufgabe, wenn auch unterschiedlichen Empfängern der Pakete, z.T. auch von anderen Unternehmen benutzt werden können. Wenn wir nur den Verkehr durch diese Türen überwachen, so gibt dies noch keinen Aufschluss darüber, von welchem der Unternehmen ein Paket nun stammt; bestenfalls kann die Empfängeradresse Rückschlüsse darauf erlauben. Es könnte durchaus sein, dass wir es bekannten Unternehmen erlauben wollen, für gewisse Empfänger bestimmte Pakete herauszutragen, anderen jedoch nicht, weil wir an ihrer ehrlichen Absicht zweifeln. Wenn wir dagegen nur kontrollieren, von welchem Unternehmen ein Paket ausgeht, können wir den Paketausgang einem der Spionage verdächtigen Unternehmen zwar verbieten und einem vertrauenswürdigen Unternehmen generell gestatten, dabei aber keine u.U. wünschenswerten Ausnahmen für bestimmte Aufgaben und Empfänger machen.
Auf den PC übertragen bedeutet dies, dass z.B. durch Port 80 erwünschter ausgehender Datenverkehr stattfindet, wenn wir Websites besuchen. Port 80 wird aber außer dem Internet Browser für Updates unserer MS- und Antivirus-Software usw. genutzt, deren Programme z.T. auch andere, für den Betrieb unbedingt erforderliche Ports benutzen müssen. D.h., wir können in diesem Fall generell weder den Port sperren noch einem Programm ausgehende Pakete verweigern. Soweit es sich um die erwähnten vertrauenswürdigen Programme handelt, wäre das kein Problem, aber schlimm kann es werden, wenn dieser Port von einem Spion genutzt wird, der sich trotz aller Vorsichtsmaßnahmen eingeschlichen hat und nun seinem Auftraggeber Information übermitteln will. Wenn er sich dabei nicht ausweisen, also den Namen der Anwendung angeben muss, werden wir ihn kaum entdecken können. Dieses Problem kam mit der Verbreitung von Malware auf, die sich unter einem Decknamen oder in anderen Programmen versteckt (Trojanische Pferde) oder über aktive Inhalte einer Website (Scripte, ActiveX) unbemerkt besonders als Spyware einschleust und dann irgendwann tätig werden will. Als Antwort auf diese Gefährdung wurden viele Personal Firewalls um die sogenannte Anwendungsfilterung (auch: outbound protection) erweitert, um eben von vertrauenswürdigen Anwendungen und von verdächtigen Programmen ausgehende Pakete unterscheiden zu können. Auch damit kann allerdings noch nicht erfasst werden, wenn solch ein schädliches Programm unter dem Namen einer uns bekannten, vertrauenswürdigen Anwendung auftritt und versucht, mit deren Rechten aktiv zu werden, weshalb ergänzend weitere Maßnahmen erforderlich werden, auf die später noch eingegangen wird.
Wie können ausgehende Pakete kontrolliert werden?
e1) Wenn der lokale Absender eines ausgehenden Pakets nicht angegeben wird (wie es bei einer reinen Paketfilter-Firewall ohne Anwendungsfilterung der Fall ist), können wir lediglich ermitteln, dass das Paket z.B. über Port 80 ausgeht, wir wissen jedoch nicht, ob der Datenverkehr vom Internet Browser, einem Update oder einem Spionageprogramm veranlasst wurde. Diesbezügliche Rückschlüsse kann evtl. die Zieladresse erlauben.
e2) Wenn sich der lokale Absender mit dem Namen seiner Anwendung ohne weitere Angaben zur beantragten Verbindung ausweist, haben wir einen eindeutigen Anhaltspunkt, um einem verdächtigen Programm ausgehende Pakete zu verweigern, wenn uns die entsprechende Frage gestellt wird. Andererseits müssen wir einem systemweiten Multifunktionsprogramm (z.B. Svchost "Generic Host Process for Windows") generell aus- und eingehende Pakete gestatten, da einige seiner Funktionen unerlässlich für den Verbindungsaufbau (z.B. aus- und eingehend über die Ports 53, 67, 68) sind. Damit werden dann zwangsläufig auch sonstige über dieses Programm abgewickelte Funktionen (z.B. Windows Updates und Verifizierungen) mit über andere, mehrfach genutzte Ports ausgehenden Paketen erlaubt, da wir z.B. die Ports 80 und 443 ebenfalls für unerlässliche Funktionen sonstiger Anwendungen (z.B. Internet Browser, Antivirus-Updates usw.) benötigen und deshalb nicht sperren können.
e3) Eine volle, allerdings auch mehr Aufwand erfordernde Kontrolle erhalten wir, wenn die betreffende Anwendung ihren Namen zusammen mit den Protokoll- und Port-Daten der jeweiligen beantragten ausgehenden Verbindung mitteilt. Dies ist u.a. bei der ressourcenfreundlichen
Kerio Personal Firewall 2.1.5 der Fall, die auf Grund der übersichtlichen Konfiguration in einer einzigen Regelliste für ältere Betriebssysteme immer noch als Tipp gelten dürfte, für Vista aber nicht mehr einsetzbar ist. Bei neueren Entwicklungen wird die Paketregelliste meist getrennt von der Anwendungsregelliste editiert, wobei Letztere im Sinne einer umfassenderen Kontrolle die Protokoll-Port-Daten der von der jeweiligen Anwendung beantragten Verbindung enthalten kann, damit wir erforderlichenfalls differenzierte Entscheidungen (siehe oben) treffen können. In diesem Fall ist zu beachten, dass die Paketregelliste, die also den eigentlichen Datenverkehr überwacht und damit maßgeblich für den Schutz vor externen Gefahren (Blockieren unerwünschter eingehender Pakete) zuständig ist, eventuell permissivere Anwendungsregeln einschränken kann.
Um den User nun nicht mit Information zu überhäufen, die er entweder oft nicht benötigt oder nicht bewältigen kann, beschränken sich einige Firewalls ausschließlich und andere auf Wunsch (z.B. nicht im sogenannten "Expertenmodus" betrieben) auf den Namen der Anwendung, ohne nähere Details zur beantragten Verbindung mitzuteilen (siehe Fall e2). In diesem Fall ist dann das Konfigurieren in getrennten Regellisten von Vorteil, da eben Protokoll-Port-Daten nur in der Paket-, nicht aber in der Anwendungsregelliste erforderlich sind.
Welche Angaben sind tatsächlich von Nutzen, um beantragte Verbindungen zu beurteilen?
Bei einem Vergleich der drei erörterten Fälle schneidet eine Firewall, die uns nur den Namen der eine Verbindung beantragenden Anwendung angibt (Fall e2), bzw. eine nicht im "Expertenmodus" betriebene Firewall keinesfalls schlecht ab, ermöglicht sie es uns doch, eventuell eingeschleuste Spione an ihrem verdächtigen Namen zu erkennen und ihre Kommunikationsversuche zu unterbinden. Ein eindeutiger Vorteil besteht darin, dass wir nicht mit vielen mühsam zu beantwortenden Detailfragen konfrontiert werden und dass wir für jede Anwendung nur eine generelle Regel "Ja / Nein" zu erstellen haben, ein Nachteil ist, dass (im Normalfall harmlose) Verbindungen evtl. unnötigerweise ohne unser Wissen bestehen können.
Im Fall e3) finden wir zunächst hinsichtlich der Sicherheit keine offensichtlichen Vorteile, die jedoch evtl. dadurch entstehen könnten, dass wir durch eine eingehendere Kontrolle keine u.U. unnötigen Verbindungen implizit gestatten müssen und eventuelle Spione anhand der zusätzlich mitgeteilten Adresse ihrer Auftraggeber genauer identifizieren können. Nachteilig ist dabei, dass uns für jede einzelne Funktion mit unterschiedlichen Protokoll-Port-Daten einer Anwendung eine entsprechende Frage gestellt wird, die wir jeweils beantworten müssen, bis der anfängliche Lernprozess abgeschlossen ist.
Im Fall e1) kann auf eingeschleuste Spionageprogramme nur aus der Angabe der Zieladresse einer beantragten Verbindung geschlossen werden, so dass eine reine Paketfilter-Firewall (z.B.
SoftPerfect Personal Firewall) zum Schutz eines Netzwerks oder dann in Frage kommen kann, wenn der PC mit anderen Mitteln ausreichend gegen Malware abgeschirmt ist, so dass auf die diesbezügliche sekundäre Schutzfunktion der Firewall verzichtet werden kann.
Jede der drei heute gebräuchlichen Firewall-Typen bzw. Betriebsarten kann also unterschiedslos gegen Angriffe von außen schützen, die ursprüngliche Aufgabe einer Firewall. Bezüglich des Einsatzes zum zusätzlichen Schutz vor unerwünschten ausgehenden, evtl. zur Spionage benutzten Verbindungen bestehen Unterschiede hinsichtlich der Details, mit denen beantragte ausgehende Pakete gemeldet werden, wobei dementsprechend unterschiedliche Usergruppen angesprochen werden.
Die unter e2) beschriebene Betriebsart bietet im Normalfall ausreichenden Schutz bei reduziertem Konfigurationsaufwand, ist also für den User zu empfehlen, der sich nicht mit technischen Details abgeben will.
Wie schützen wir uns vor Trojanischen Pferden?
Bei den vorstehenden Betrachtungen ist klar geworden, dass der Verbindungsantrag eines mit angeeigneten Rechten einer vertrauenswürdigen Anwendung auftretenden schädlichen Programms von der bisher beschriebenen Personal Firewall mit Anwendungsfilterung nicht als solcher erkannt werden kann. Daher überwachen moderne Firewalls die bereits bei ihrem ersten Verbindungsantrag für den Internet-Zugriff zugelassenen, vertrauenswürdigen Anwendungen zusätzlich auf eventuelle Änderungen der ausführbaren Datei, deren Größe und Speicherort. Wenn solch eine Änderung bei dem nächsten Verbindungsantrag entdeckt und demzufolge mitgeteilt wird, müssen wir entscheiden, ob sie z.B. durch ein soeben vorgenommenes Programm-Update der Anwendung erfolgte und damit zulässig ist oder ob evtl. ein schädliches Programm mit den Rechten der "guten" Datei eine Verbindung aufnehmen will, so dass der Änderung nicht stattgegeben werden darf. Um diese Frage beantworten zu können, müssen wir natürlich von einem Programm-Update Kenntnis erlangen, d.h. Updates unserer Anwendungen einschl. Windows sollten generell nie automatisch im Hintergrund, sondern nur nach vorheriger Anfrage und Genehmigung stattfinden können.
Vista-kompatible Personal Firewalls, die ressourcenfreundlich sind und die gewünschten Eigenschaften aufweisen, werden z.Zt. u.a. von
Look 'n' Stop, darauf basierend und weiterentwickelt von
PC Tools [2] und als Weiterentwicklung der
Kerio Personal Firewall von
Sunbelt [3] angeboten.
Einen diesbezüglich ergänzenden, jedoch auf vollkommen anderem Prinzip beruhenden und zeitlich vorher in Aktion tretenden Schutz bietet ein HIPS wie z.B.
WinPatrol, das uns u.a. anhand der laufenden Überwachung der in den Autostart-Registern von Windows verzeichneten Anwendungen und Dienste auf neue oder geänderte Programme hinweist, die sich - um aktiv werden zu können - dort eintragen wollen. Diese Eintragung werden wir dann zulassen, wenn wir eine vertrauenswürdige Anwendung soeben installiert haben und außerdem wünschen, dass sie automatisch zusammen mit Windows gestartet wird, bzw. dann ablehnen, wenn sie ohne unser Zutun von einem unbekannten Programm (z.B. Malware) beantragt wird. Bevor solch ein HIPS installiert wird, sollte der Rechner - sofern er schon im Einsatz war - desinfiziert werden, damit die Überwachung nicht auf einem bereits verseuchten System aufbaut. Auch der mit Vista gelieferte
Windows Defender erfüllt ähnliche Funktionen und kann zusätzlich nach Spyware scannen, die in der schwarzen Liste verzeichnet ist.
Warum ist es vorteilhaft, verschiedene Verfahren zum Schutz einzusetzen?
1) Eine Personal Firewall, wie wir sie hier verstehen, überwacht den Datenverkehr zwischen Rechner und Internet und auch die Anwendungen, die auf das Internet zugreifen dürfen. Bei dem ersten Verbindungsantrag einer Anwendung / eines Programms und nach der Änderung einer bereits zugelassenen Anwendung haben wir die Entscheidung zu treffen, ob wir das Ereignis zulassen oder ablehnen. Wenn wir es für verdächtig erachten und ablehnen, können wir uns evtl. vor den Folgen (insbesondere Spionage) bereits eingeschleuster Malware schützen.
2) Ein HIPS, das u.a. die Autostart-Register von Windows auf Änderungen überwacht, verlangt unsere Entscheidung, ob wir das Ereignis zulassen oder ablehnen, wenn ein neues Programm sich erstmalig eintragen will oder wenn ein bereits eingetragenes Programm eine Änderung erfährt. Wenn wir die Eintragung bzw. Änderung für verdächtig erachten und ablehnen, können wir damit weitere Aktivitäten dieses schädlich eingestuften Programms verhindern.
Um diese Entscheidungen richtig treffen zu können, ist es ausschlaggebend, ob wir unmittelbar vor der entsprechenden Frage die damit in Verbindung stehende Anwendung bewusst gestartet, installiert oder ihre Datei auf beliebige Weise (z.B. durch ein Programm-Update) geändert haben.
3) Spyware-, Viren- und allgemein Malware-Scanner müssen durch regelmäßige Updates der schwarzen Liste auf dem neuesten Stand gehalten werden, um neu in Umlauf gebrachte Malware aufspüren zu können, d.h. sie hinken zwangsläufig immer etwas hinterher, können aber entdeckte, mutmaßliche Malware u.U. dauerhaft neutralisieren, wenn wir bei der entsprechenden Meldung die Entscheidung dahin gehend treffen.
Wie aus dieser Zusammenfassung hervorgeht, beruhen die drei Verfahren zum Schutz gegen Malware auf vollkommen unterschiedlichen Prinzipien. Ihr kombinierter Einsatz kann die Wahrscheinlichkeit erhöhen, Malware zu entdecken und sie dann entweder zu neutralisieren, zu deaktivieren oder zumindest ihre Verbindung mit dem Internet zu verhindern, d.h., uns in jedem Fall vor den Folgen zu schützen.
Welche Firewall kann mir nun nützen?
Wenn Sie mit einem Betriebssystem ohne integrierte Firewall arbeiten, sollte auf jeden Fall eine bewährte Firewall installiert sein bzw. werden, die einen interaktiven Lernmodus aufweist und die erörterten Möglichkeiten für den Schutz vor Gefahren von außen und von innen bietet. Falls Sie Vista verwenden, können Sie entscheiden, ob die integrierte Firewall Ihren Ansprüchen genügt oder ob Sie eine individuellere Kontrolle wünschen, die allerdings sicher auch einen gewissen Zeitaufwand und einige Versuche mit sich bringt, bis alles nach Wunsch läuft.
Die im Laufe der Jahre erprobten Firewalls hat der Verfasser danach beurteilt, ob sie die hier beschriebenen Funktionen und Konfigurationsmöglichkeiten hinsichtlich Protokoll-Port- und Anwendungsfilterung aufweisen, ob sie einen störungsfreien Betrieb gewährleisten, ob sie problemlos zu installieren / deinstallieren und benutzer- und ressourcenfreundlich sind und ob sie als Freeware ohne Einschränkungen zur Verfügung stehen. Als Ergebnis wurde die
Kerio Personal Firewall 2.1.5 lange Zeit erfolgreich auf Rechnern mit Windows 98, 2000 und XP benutzt. Als neuere Betriebssysteme eine Umstellung erforderlich machten, fiel die Wahl auf die
PC Tools Firewall Plus, die seitdem mit Erfolg auf Rechnern mit Windows 2000, XP-SP2 und Vista im Einsatz ist.
Angaben ohne Gewähr, Stand Juni 2009:
Anmerkung: Um Inkompatibilitäten vorzubeugen, dürfen niemals zwei Firewalls gleichzeitig auf einem Rechner installiert sein! Einfaches Ausschalten genügt nicht, da die Driver u.U. aktiv bleiben. Daher auf jeden Fall - bei abgeschalteter Internet-Verbindung - ein evtl. installiertes Fremdprodukt deinstallieren und den Rechner neu starten bzw. die in XP-SP2 oder Vista integrierte Firewall deaktivieren und dann erst die Neuinstallation vornehmen! Die neu installierte Firewall funktioniert meist erst nach einem nochmaligen Neustart (Aktivieren der Driver).
Vor dem Installieren einer Firewall sollte unbedingt ein System-Wiederherstellungspunkt erstellt werden!
Tipp: Beim Installieren meist kostenloser, auch durchaus guter und bewährter Software seriöser Hersteller sollte immer darauf geachtet werden, keine evtl. zusätzlich angebotenen, nicht benötigten Produkte herunterzuladen oder zu installieren; d.h., wenn die entsprechende Frage während des Installationsvorgangs auftauchen sollte, einfach die entsprechenden Häkchen entfernen bzw. verneinend setzen.
Wie ist die Firewall zu konfigurieren?
Bewährte Einstellungen für Windows 98, 2000 und XP wurden in dem Artikel "Wie man den PC im Internet standfest macht" am Beispiel der
Kerio Personal Firewall 2.1.5 vorgeschlagen. Das dort vorgestellte Schutzkonzept ist weiterhin gültig und daher soll hier lediglich auf die Konfiguration bei Vista-kompatiblen Firewalls mit getrennter Paket- und Anwendungsregelliste eingegangen werden.
Es muss nochmals betont werden, dass diese Regeln ausschließlich für einzelne Rechner für den typischen Arbeitseinsatz (Internet plus E-Mail) - ohne Netzwerk für gemeinsamen Dateizugriff - erstellt und nur unter diesen Bedingungen erprobt wurden.
Anmerkung: Die vorkonfigurierte Grundeinstellung moderner, bewährter Firewalls (auch der in Vista integrierten Firewall) bietet i.A. bereits Schutz vor unmittelbaren Gefahren, so dass damit - vor weiterem Surfen im Internet! - eine Prüfung der Firewall (siehe folgendes Kapitel) erfolgen kann. Wenn die Firewall mit der vorkonfigurierten Grundeinstellung alle Tests besteht und wenn Sie danach auch alle gewünschten und für den Zugriff auf das Internet zugelassenen Anwendungen benutzen können, brauchen Sie sich um die Paketfilterregeln nicht weiter zu kümmern. Falls die Ergebnisse der Tests jedoch beliebige Lücken aufzeigen, sollten diese Lücken vor weiterem Surfen unbedingt geschlossen werden, z.B. in Anlehnung an die nachfolgend beschriebene Konfiguration.
Beispielhaft nehmen wir
Windows Vista Home und
PC Tools Firewall Plus (Version 3). Die Konfiguration ist sinngemäß auf andere Versionen bzw. Firewalls dieser Art anwendbar, wobei mehr oder weniger abweichende Bezeichnungen hinsichtlich GUI und Regeln auftauchen können.
Zunächst prüfen wir unter "Einstellungen", ob "Firewall", "Anwendungsfilterung", "Paketfilterung", "Stealth-Modus" und "SPI (Stateful Packet Inspection)" aktiviert sind, und wir entscheiden, ob wir im "Expertenmodus" (siehe oben) arbeiten wollen.
Unter "Erweiterte Regeln" finden wir zunächst die bereits vorkonfigurierten Paketfilterregeln für die "Internetzone" und die "Vertrauenswürdige Zone" (ähnlich der Unterscheidung im Internet Explorer), von denen wir - da wir gemäß Zielsetzung kein internes, vertrauenswürdiges Netz haben - nur die strengeren Internet-Regeln nutzen. Die Regeln werden in der Liste zyklisch von oben nach unten abgearbeitet; eine weiter oben stehende, restriktivere Regel wirkt sich also auf alle nachfolgenden, permissiveren Regeln aus, die Bedingungen (Richtung, Protokoll, Port usw.) der ersten Regel enthalten. Ein Häkchen vor der Regel bedeutet, dass sie aktiv (true) ist, anderenfalls (false) wird sie übersprungen, so dass wir bei den ersten Versuchen keine vorkonfigurierten Regeln löschen müssen, sondern einfach das Häkchen entfernen oder setzen können. Ein ausgedruckter Screenshot der Originalliste kann hilfreich sein. Die originale Regelliste können wir sicherheitshalber exportieren und - falls irgendwann nichts mehr funktionieren sollte - wieder importieren, wozu vorher die noch vorhandenen Regeln zu "Löschen" sind und die neu importierte Regelliste zu "Übernehmen" ist (dies alles bei abgeschalteter Internet-Verbindung, da im Verlauf dieser Vorgänge kein Schutz gewährleistet ist).
Die bereits aktiven und "Blockierten" Regeln lassen wir vorerst unverändert.
Dann vergewissern wir uns, dass die Ports 135, 137 bis 139 und 445 für UDP- und TCP-Protokolle aus- und eingehend blockiert sind bzw. wir editieren die Regeln dementsprechend.
Ferner können wir das "IGMP-Protokoll" (IP Group Management Protocol, für IP-Multicast) und das "ICMP-Protokoll" (alle Protokoll-Typen) generell blockieren. Bei der Netzwerkprüfung (siehe Tipp gegen Ende des Kapitels) kann dann die Meldung auftreten, dass der Server nicht auf Pings antwortet, was aber keine weiteren Nachteile mit sich bringt. Wer Wert darauf legt, dass die Verfügbarkeit des Servers ebenfalls geprüft wird, müsste unter ICMP die Protokolle "Ping" (8 = Echo Request)
nur ausgehend und "Echo" (0 = Echo Reply)
nur eingehend erlauben. Alle weiteren ICMP-Protokolle sind bei dem hier vorausgesetzten Einsatz des Rechners unnötig und sollten blockiert bleiben, damit wir insbesondere keine eingehenden Pings annehmen und noch weniger darauf antworten und potentiellen Angreifern damit die Verfügbarkeit unseres Rechners verraten!
Im Anschluss daran folgen die "Zugelassenen" Paketfilterregeln:
- "Interne Weiterleitungsregel" (unerlässlich bei der im Beispiel benutzten Firewall).
- "DNS": Ethernet-Typ: IP; Protokoll: UDP; Port der Gegenstelle: 53.
- "DHCP": Ethernet-Typ: IP; Protokoll: UDP; Port der Gegenstelle: im Bereich von 67 bis 68; lokaler Port: im Bereich von 67 bis 68.
- "ARP" (Alle ARP-Pakete): Ethernet-Typ: ARP.
Und ganz am Ende der Liste blockieren wir alle weiteren eingehenden Pakete:
- "All incoming": Richtung: Eingehend.
Anmerkung: Nicht spezifizierte Details der Regeln werden bei der im Beispiel benutzten Firewall nicht berücksichtigt. Wenn wir daher z.B. in der letzten Regel als einzige Kondition die Richtung mit "Eingehend" angeben und diese Regel blockieren, bedeutet dies, dass alle eingehenden Pakete - unabhängig von sonstigen Bedingungen (Ethernet-Typ, Protokoll, Port, Adresse usw.) - ab dieser Regel abgewiesen werden, weshalb eben diese unerlässliche Regel am Ende der Liste stehen muss.
Von den Anwendungen ausgehende Pakete wollen wir bei diesem Schutzkonzept nicht generell blockieren, da unsere Firewall ja entsprechende Fragen stellen soll und diese Fragestellung eben durch das Blockieren aller weiteren ausgehenden Pakete unterbunden würde, ohne dass wir von neuen erwünschten oder auch evtl. verdächtigen Verbindungsanträgen Kenntnis erlangen könnten.
Wenn wir im Expertenmodus arbeiten und in der ersten Fragenflut Anfragen von "Svchost" kommen, müssen wir die UDP-Protokolle über die Ports 53 und 67-68 (siehe oben) zulassen, da ansonsten keine Verbindung aufgebaut werden kann. Analog dazu müssen wir - falls wir uns nicht für den Expertenmodus entschieden haben - die Anwendung "Svchost" generell erlauben. (Wenn wir bei der in diesem Beispiel benutzten Firewall "Bekannte Anwendungen automatisch zulassen", werden eben solche vertrauenswürdigen Windows-Anwendungen automatisch erlaubt und es werden uns diesbezüglich keine Fragen gestellt.) Danach werden wir dann bei jeder von uns erstmalig gestarteten, irgendwie mit dem Internet - evtl. über interne Weiterleitung - in Verbindung stehenden Anwendung unmittelbar eine entsprechende Frage von der Firewall erhalten (z.B. bei Anklicken eines Links in einem Word-Dokument wird Word die Verbindung mit dem Internet nicht direkt, sondern über den Default-Browser beantragen). Unter "Anwendungen" können die Berechtigungen der einzelnen Anwendungen jederzeit eingesehen und ggf. geändert werden.
Sollte eine Verbindung ohne unser Zutun beantragt werden, ist zunächst Vorsicht geboten, obwohl es sich natürlich auch um programmierte Updates einer vertrauenswürdigen Anwendung handeln könnte (die deshalb ohne vorherige Anfrage und Genehmigung nicht zweckmäßig sind!). Analysieren Sie die Meldung und nehmen Sie sich Zeit bei der Entscheidung! Sofern der Rechner relativ wenig eingesetzt bzw. mit geeigneten Tools desinfiziert wurde, besteht wohl noch keine große Gefahr bezüglich eingeschleuster Malware; anderenfalls könnten wir durch eine voreilige Entscheidung im schlimmsten Fall einem Spion die Verbindung zu seinem Auftraggeber durch eine Regel dauernd gestatten.
Im Zweifelsfall können wir an gewissen Paket- oder Anwendungsregeln die Protokollierung aktivieren und dann im Log der Firewall einsehen, ob diese Regel die Ursache für einen etwa fehlgeschlagenen Verbindungsaufbau sein könnte.
Tipp: Falls es zu keiner Verbindung kommt, kann bei Vista u.U. auch die Funktion "Erkennen und Reparieren" (im Kontextmenü nach Rechtsklick auf das unten rechts in der Nähe der Uhr sitzende Netzwerk-Symbol) mit ihren weiterführenden Funktionen helfen. Die entsprechende Vorgehensweise bei älteren Betriebssystemen wurde eingehend im Artikel "Wie man den PC im Internet standfest macht" beschrieben.
Wenn es uns schließlich gelingt, ins Internet (zunächst einer inoffensiven, als vertrauenswürdig bekannten Site) durchzudringen, sollten wir vor weiterem Surfen unbedingt zum nächsten Schritt übergehen:
Wie prüfen wir die Firewall?
Unabhängig davon, ob wir eine Schutz-Suite, die im Betriebssystem integrierte oder eine sonstige Firewall benutzen, ob wir selbst konfiguriert haben oder die vom Hersteller vorkonfigurierte Grundeinstellung verwenden, ist es wärmstens zu empfehlen, die Wirksamkeit des Schutzes beim ersten Einsatz und nach jeder geänderten Konfiguration umgehend zu prüfen. Wir sind zwar bereits ins Internet gelangt, aber wir wissen noch nicht, welche schwachen Stellen wir dort bieten. Bei
ShieldsUp (Gibson Research Corporation) und
PCFlank werden Online-Tests angeboten, mit denen wir die Wirksamkeit unserer Schutzmaßnahmen u.a. hinsichtlich der Firewall-Konfiguration überprüfen können. Wer auf Nummer Sicher gehen will, sollte alle dort angebotenen Tests (Port-Scans), mit Ausnahme des Leak-Tests, durchführen. Wenn die Tests erfolgreich verlaufen (alle geprüften Ports sollten "stealth" sein bzw. alle simulierten Angriffe sollten abgewehrt worden sein), dann sind die Einstellungen in Ordnung. Anderenfalls müssen eben die durchlässigen Ports noch einmal unter die Lupe genommen und die entsprechenden Regeln ggf. geändert werden, wozu u.a. auf den genannten Sites nützliche Information geboten wird. Zur Analyse kann es auch von Nutzen sein, für einen Test vorübergehend die Protokollierung der Paketfilterregeln zu aktivieren, so dass wir im Protokoll sehen können, welche Regel der Bearbeitung bedarf.
Selbst mit den bestandenen Tests sollten wir uns nicht in trügerischer Sicherheit wiegen; es wird damit lediglich bescheinigt, dass wir unsere Firewall so konfiguriert haben, dass unser Rechner im Internet potentiellen Angreifern nicht auffällt, dass er keine unerwünschten eingehenden Anfragen bedient und dass sich z.Zt. keine Trojaner mit dem Internet verbinden.
Welche weiteren Schutzmaßnahmen sind empfehlenswert?
Auch wenn die Firewall als "Wachdienst" den ein- und ausgehenden Datenverkehr überwacht und dadurch Angriffe aus dem Internet abwehren und evtl. eingeschleuste Spione bei ihrem Verbindungsantrag mitteilen kann, sollte sie von ergänzenden Schutzmaßnahmen begleitet werden.
Unbedingt empfehlenswert ist ein
HIPS, in Vista als
Windows Defender mit zusätzlichem Spyware-Scanner bereits mitgeliefert. Auch z.B.
WinPatrol informiert neben weiteren nützlichen Funktionen sicher über neue Programme, die sich in die Autostart-Register von Windows eintragen wollen, und weist damit - sofern wir in diesem Augenblick kein neues Programm bewusst installiert haben - auf eingeschleuste Malware hin, bevor sie die evtl. von der Firewall angezeigte Verbindung mit dem Internet aufnehmen will.
In Bezug auf den
Browser sollten die Möglichkeiten ausgeschöpft werden, die er zum Erhöhen der Sicherheit (ActiveX möglichst deaktivieren, Scripte unterbinden bzw. je nach Bedarf zumindest einschränken) und Datenschutz (Cookies nur bei Bedarf von vertrauenswürdigen Sites zulassen) usw. bietet.
Was beim Aufruf einer Website dem Server verraten wird, können wir leicht in den
Browser Headers (für HTTPS und HTTP) bei
ShieldsUp sehen. Unter diesen Strings sind besonders die Daten relevant, die einen Eingriff in unsere Privatsphäre bedeuten können. Speziell darauf ist der
Browser Test (für HTTP) bei
PCFlank zugeschnitten: Er informiert uns darüber, ob unser Browser Cookies akzeptiert und "Referrer" (in der Fachsprache auch "Referer") übermittelt, die dem Server einer aufgerufenen Website die zuletzt davor besuchte Adresse mitteilen, d.h. woher wir beim Surfen gekommen sind. Obwohl moderne Browser über Filterfunktionen in Bezug auf Sicherheit und Schutz der Privatsphäre verfügen, u.a. Cookies verweigern oder nur selektiv akzeptieren können, gibt es z.B. im Internet Explorer keine Option, Referrer zu entfernen. Einige andere Browser sowie auch die in einigen Firewalls zusätzlich enthaltenen Web- oder Content-Filter bieten u.a. diese Möglichkeit.
Anmerkung: Während im Rechner installierte Spyware theoretisch Zugriff auf beliebige Daten hat und diese übermitteln kann, sofern ihr die Verbindung zu ihrem Auftraggeber gelingt, verraten Cookies und die bei jedem Aufruf einer Website vom Browser gelieferten Strings in erster Linie für Webmaster statistisch interessante Information über unseren Rechner und unsere Surfgewohnheiten. Zusammen mit Datum, Uhrzeit und der IP-Adresse (die unsere geographische Lage eingrenzt) können damit Benutzerprofile erstellt und besonders für Werbezwecke gebraucht werden.
Wer seinen Weg durchs Internet als persönliche Angelegenheit betrachtet und nicht jedes mal preisgeben möchte, von wo er soeben gekommen ist, könnte Referrer entfernen wollen, wodurch allerdings in seltenen Fällen der Zugriff auf die aufgerufene Site verweigert werden kann.
Falls in unserer Ausrüstung nicht alle diesbezüglich gewünschten Filterfunktionen zur Verfügung stehen, können wir als Ergänzung zum Browser einen entsprechenden lokalen
Web-Proxy (HTTP-Proxy, Web-Filter) einsetzen, der funktionsmäßig in den Datenstrom zwischen Browser und Internet geschaltet ist. Mit
WebWasher Classic 3.4 (
http://www.webwasher.de/classic/) (Windows einschl. XP) und
Proxomitron (
http://www.buerschgens.de/Prox/) (Windows einschl. Vista) stehen ressourcenfreundliche, umfangreich konfigurierbare und gut dokumentierte Tools zur Verfügung. Sie ermöglichen es, bei HTTP den Datenverkehr zwischen Browser und Web nach Wunsch zu filtern, u.a. Referrer selektiv zu entfernen und Websites von potentiell gefährlichen und/oder störenden Elementen (Werbung) zu reinigen, so dass sie auch schneller geladen werden. Evtl. redundante Filter im Browser stören dabei nicht; da der Proxy dem Browser vorgeschaltet ist, gilt die jeweils restriktivere Filtereinstellung.
Wenn wir einen lokalen Web-Proxy einsetzen, ist die normalerweise über Port 80 (HTTP) direkt ausgehende Verbindung sowohl im Browser selbst (bei IE: Extras - Internetoptionen - Verbindungen - DFÜ / LAN - Proxyserver) als auch in der entsprechenden Anwendungsregel der Firewall auf die lokale Adresse "127.0.0.1" und den Port des Proxy (meist 8080) umzuleiten und der Proxy wird ausgehend über Port 80 die Verbindung mit dem Internet über die Firewall beantragen. Alle weiteren Verbindungen (HTTPS, FTP usw.) müssen nach wie vor direkt erfolgen!
Tipp: Wer um die im Internet hinterlassenen Daten besorgt ist, könnte auch alternative Suchmaschinen in Betracht ziehen, die nicht so datengierig sind wie der Marktführer [4].
E-Mails unbekannter Absender, mit verdächtigem Betreff oder mit potentiell gefährlichen Anhängen (z.B. ausführbare Dateien mit der Erweiterung *.exe) sollten nicht einfach abgerufen, sondern zunächst auf dem Server analysiert und evtl. bereits dort gelöscht werden, was mit Tools wie z.B.
PopTray bzw.
Portable PopTray (portable Version, siehe Tipp am Ende) möglich ist. Das Tool kann u.a. mehrere Konten auf neue E-Mails überwachen, Adressen nach weißer und schwarzer Liste sortieren, Spam-Mails oder E-Mails mit verdächtigen Anhängen auf dem Server löschen und gelöschte Mails zur Nachverfolgung protokollieren.
Tipp: Vermeiden Sie möglichst die auf einigen Websites angebotene Funktion "Send / Mail to a friend" o.ä., um Bilder oder Dokumente an Ihre eigene Adresse oder die eines Bekannten zu senden, damit die Adressen auf dem Server nicht registriert und dann evtl. für Spam-Post benutzt werden können!
Tipp: Das Angebot an nützlicher, installationsfreier Software wird immer umfangreicher. Die Vorteile liegen auf der Hand: Es werden keine in das System eingreifenden Änderungen vorgenommen oder zusätzliche Komponenten versteckt installiert. Zudem kann eine bereits konfigurierte Anwendung einfach auf andere Rechner übertragen werden, z.B. mittels USB-Stick. Auf einschlägigen Sites, u.a. "The Portable Freeware Collection" und "Softpedia Portable", werden eigenständige, portable Tools aller Art angeboten.
Fazit
Wer das Internet nutzt, ist Angriffen ausgesetzt, die einen direkten Schaden des Rechners oder das Ausspionieren persönlicher Daten zur Folge haben können. Als erste Abwehr ist eine richtig konfigurierte Personal Firewall unerlässlich, ermöglicht sie es doch, potentielle Gefahren von erwünschtem Datenverkehr klar zu trennen und Schwachstellen zu reduzieren, so dass es Angreifern zumindest erschwert wird, in unserem PC ein Opfer zu finden. Ferner kann sie über evtl. doch eingeschleuste Malware dann informieren, wenn sie eine Verbindung mit dem Internet aufnehmen will, so dass wir z.B. einen Informationsdiebstahl noch verhindern können.
Doch auch die beste und richtig konfigurierte Firewall hat konzeptbedingte Grenzen, weshalb ergänzende Tools - und auch Verhaltensregeln! - nötig sind, um Malware aufspüren zu können bzw. um zu verhindern, dass sie tätig werden kann.
Neben der grundsätzlichen Funktionsweise einer modernen Firewall sollten ihre Möglichkeiten und Grenzen erläutert sowie Hinweise für die zweckmäßige Wahl, Konfiguration und Prüfung hinsichtlich eines wirkungsvollen Schutzes vor außen lauernden Gefahren und des zunehmend an Bedeutung gewinnenden Schutzes vor trotz allem in den Rechner eingeschleuster Malware gegeben werden. Die vorgeschlagenen Lösungen können dem an diesem Thema interessierten Anwender als Anhalt für ein Konzept zum Schutz des eigenen Rechners dienen.
Dipl.-Ing. Lothar Pesch
CODEX Traducciones
Nachsatz:
In den vorliegenden Ausführungen kommt ausschließlich die persönliche Ansicht des Verfassers zum Ausdruck, die sich in Bezug auf erwähnte Produkte, Marken, Firmen oder Websites, bei Angaben oder beliebigen Kommentaren dazu auf seine Erfahrung und diesbezüglich öffentlich zugängliche Information stützt. Hinsichtlich der Verfügbarkeit von Produkten oder Websites oder der Gültigkeit von Angaben dazu wird keine Gewähr übernommen.
Internet-Adressen wurden angegeben, soweit die entsprechenden Websites nicht einfach zu finden sind; in allen anderen Fällen können die Websites der erwähnten
Produkte oder
Firmen über Suchmaschinen leicht erreicht werden.
Quellenangabe:
[1]
http://isc.sans.org/survivaltime.html
[2]
http://www.pctools.com/forum/archive/index.php/t-440.html
[3]
http://sunbeltblog.blogspot.com/2005/12/kerio-product-acquisition-completed.html
[4]
http://www.kontrollausschluss.de/extra-der-meisterspion-google-und-seine-dienste.html