Sicherheitslücken in Betriebssystem oder Browser öffnen Angreifern Tür und Tor zum PC, wenn keine richtig konfigurierte Firewall den Riegel vorschiebt. ZDNet erklärt die Vorteile und Nachteile der verschiedenen Firewall-Konzepte.
Während Firewalls[1] noch vor wenigen Jahren großen Unternehmen vorbehalten waren, besitzt mittlerweile jeder kleine ISDN- oder DSL-Router diese Funktion. Und wer sich direkt per Modem, sei es analog oder DSL-digital mit dem Internet verbindet, kann auf Software-Firewalls zurückgreifen, die den gleichen Zweck erfüllen. Unterschiede gibt es natürlich trotzdem, auch wenn die allgemeine Funktion mit "ein Gerät, das den Netzwerkverkehr anhand von definierten Regeln filtert und nur erwünschte Pakete an ihr Ziel kommen lässt" simpel und klar beschrieben ist.
Firewalls erreichen dieses Ziel, indem sie Pakete, die durch sie passieren wollen, einer Prüfung unterziehen. Die abgefragten Kriterien können vielfältig sein, die IP-Adresse[2] von Sender und Empfänger zum Beispiel, das verwendete Protokoll oder der Port[3], den das Paket ansprechen will. Hat der Benutzer eine Regel definiert, die auf das Paket anwendbar ist, greift die Firewall auf das Default-Verhalten zurück. Normalerweise verwirft sie dann das Paket.
 |
| Eine optimal konfigurierte Firewall gibt nur so viele Ports frei wie unbedingt nötig - und blockt kategorisch alle anderen Verbindungen. |
|
Eine komplett geschlossene Firewall für Ein- und Ausgang schützt wirkungsvoll vor Angriffen. Allerdings könnte man den PC dann genauso gut vom Netz trennen, denn Kommunikation ist nicht mehr möglich. Die Regeln, nach denen eine Firewall den Zugang beschränkt oder verwehrt, müssen durchdacht sein. Ein wichtiges Kriterium ist dabei die IP-Adresse. Wer seinen Spieleserver für die Kumpels um die Ecke freigeben will und für sonst niemand, könnte eine Regel erstellen, die die Firewall für deren IP-Adressen öffnet. Leider macht die übliche Praxis der Internet-Service Provider, nur dynamische IPs zu vergeben, das weitgehend unmöglich. Wer es trotzdem versuchen will, muss vor dem Erstellen der Regel mit seinen Freunden telefonieren und deren aktuelle, im Internet sichtbare, IP-Adressen erfragen. Trägt er diese in die Regel ein, funktioniert der Zugriff, bis der Provider neue dynamische IPs verteilt. Mit dynamischen Hostnamen, wie sie beispielsweise DynDNS[5] anbietet, kann fast keine Firewall umgehen.
Wirkungsvoller ist die Beschränkung des Zugangs auf Port-Ebene. Ports sind Kennzeichnungen innerhalb eines IP-Pakets. Sie legen fest, welche Anwendung und welches Protokoll dieses Paket nutzt. Eine einfache Analogie ist ein Mehrfamilienhaus. Straße und Hausnummer sind für alle Bewohner gleich, erst die Briefkästen unterscheiden zwischen den Familien. Gleichermaßen gibt ein Port für eine IP-Adresse an, was genau mit dem Paket geschehen soll. So können von ein und derselben IP-Adresse mehrere Verbindungen unabhängig voneinander ausgehen und ankommen.
Die Kommunikation zwischen Web-Browser und Webserver läuft über Port 80, FTP[6] nutzt die Ports 20 und 21, die Fernsteuersoftware VNC kommuniziert über Port 5900. Festgelegt sind die Ports in einem RFC[7] (Request for Comments) der IETF[8] (Internet Engineering Task Force). Die Vergabe erfolgte mehr oder weniger willkürlich, viele Ports waren historisch bedingt von den Entwicklern eines Dienstes oder eines Programms vergeben worden, die IETF legalisierte praktisch die vollendeten Tatsachen.
Eine Übersicht gängiger Portnummern[9] und ihrer Belegungen finden Sie etwas weiter im Artikel; eine vollständige Aufzählung bietet die Liste der IANA[10] (Internet Assigned Numbers Authority).
Wenn ein Port geblockt wird, funktioniert die Kommunikation der Anwendung nicht mehr, die den Port nutzt, auch wenn die IP-Adresse freigegeben ist. Eine optimal konfigurierte Firewall gibt nur so viele Ports frei wie unbedingt nötig und blockt kategorisch alle anderen Verbindungen. Die Richtung, woher der Verbindungsversuch kommt, spielt auch eine Rolle. Will man weder Web- noch FTP-Server, Netzwerkspiele oder ähnliches betreiben, kann die Firewall alle eingehenden Verbindungsanfragen komplett verwerfen. Für den umgekehrten Weg von Innen nach Außen muss zumindest Port 80 für Websurfen geöffnet sein, ebenso Port 53 für DNS[11] anfragen, wenn das nicht der eigene Router erledigt. Verschlüsseltes Surfen über HTTPS[12] (externer Link) erfordert eine Freigabe für Port 443, E-Mails laufen über Port 25 (SMTP[13]) und 110 (POP3[14]). Alles Weitere hängt von den Anwendungen ab, die man einsetzen will.
Bei einigen Firmen stellten die Sensoren von Symantec[15] im Mai 2005 bis zu 35.000 Angriffe innerhalb von 24 Stunden fest. Dabei wird nicht die Firewall direkt angegriffen, sondern der Eindringling möchte an die Dienste dahinter gelangen, den Webserver, Mailserver oder die SQL-Datenbank zum Beispiel. Dazu muss er erst einmal überprüfen, welche Ports an der Firewall offen sind, um ein Schlupfloch zu finden: Er scannt. Hierbei kann er möglicherweise auch schon sehen, welche Systeme hinter der Firewall stehen. Entsprechend richtet er seine Angriffsstrategie ein, denn jedes System hat seine bekannten Schwachstellen.
|
| Für welches Firewall-System man sich entscheidet, hängt vor allem davon ab, was geschützt werden soll und wie viel Zeit der Administrator investieren kann. |
|
Auch den Port 443, also HTTPS-Attacken, sieht man häufig. Hierbei handelt es sich um eine 'Man in the Middle'-Attacke[18], bei der der Angreifer sich zwischen zwei miteinander kommunizierende Systeme A und B stellt. Er fälscht seine IP-Adresse und gaukelt A vor, er sei B und B vor, er sei A. Auf diese Weise kann er den gesamten Datenverkehr zwischen den beiden kopieren oder verändern, ohne dass die Beteiligten etwas merken.
Jeder Anwender steht am Anfang vor der Frage, welche Art von Firewall für ihn die richtige ist. Die Auswahl an Herstellern ist groß, dennoch lassen sich die Produkte in drei grobe Kategorien einteilen:
- Hardware-basierte Firewalls
- Appliances
- reine Softwarelösungen (siehe Downloads[19])
Bei einer Hardware-basierten Firewall liegen die Regeln in einem ASIC (Application Specific Integrated Circuit)[20] (externer Link),also fest in den Prozessor integriert. Das klingt sehr inflexibel, hat aber den Vorteil, dass diese Prozessoren auf hohe Netzwerklasten optimiert sind, und damit lange höhere Datendurchsatzraten ermöglichen als herkömmliche Prozessoren mit Firewall-Software. Netscreens[21] Juniper und Watchguards[22] Vclass nutzen die ASIC-Technologie für hohe Netzwerklasten, Fortinet kombiniert seinen ASIC gleich noch mit Antiviren-Technologie. Der Nachteil von ASICs liegt auf der Hand: Wenn neue Angriffe auftauchen, können sie nicht einfach per Software-Update in die Firewall eingebaut werden, sondern es braucht ein neues System. ASIC-basierte Systeme waren in ihren Anfängen sehr spartanisch ausgestattet, aber das hat sich längst geändert und sie können es vom Funktionsumfang mit Software-Firewalls heute aufnehmen. Sie bringen eigene, proprietäre Betriebssysteme mit, zum Beispiel das ScreenOS von Juniper.
Eine reine Software-Firewall wird auf ein bestehendes System installiert. Es ist die scheinbar einfachste Variante, sie braucht aber am meisten Pflege, denn wenn das System, auf dem die Firewall läuft, nicht sicher ist, dann nützt auch die Firewall nichts. Ein nicht auf den aktuellsten Stand gebrachtes Windows kann trotz perfekt konfigurierter Firewall Eindringlingen das Tor ins Netzwerk öffnen. Daher laufen Software-Firewalls im Idealfall auf "gehärteten" Betriebssystemen. Hier sind alle Funktionen ausgeschaltet, die nicht unbedingt gebraucht werden oder gefährlich sein können, zum Beispiel Netzwerkfunktionen.
Der Mittelweg zwischen ASIC und Softwarelösungen ist die mittlerweile sehr populäre Appliance. Einer der Vorreiter war hier die Firma Astaro mit ihrer Linux-basierten Gateway-Lösung. Weitere Anbieter sind die deutsche Gate Protect, Sonicwall, aber auch die großen wie Cisco, Symantec und Checkpoint gemeinsam mit Nokia und Phion bieten solche Lösungen an. Hier hat sich der Hersteller bereits die Mühe gemacht, eine Software-Firewall gemeinsam mit einem bereits gehärteten und auf die Firewall abgestimmten Betriebssystem auf eine Hardware zu installieren. Der Vorteil: Das Betriebssystem ist bereits abgesichert, dennoch können Patches im Nachhinein eingespielt werden, falls sich neue Bedrohungen ergeben.
Für welches System man sich entscheidet, hängt vor allem davon ab, was geschützt werden soll und wie viel Zeit der Administrator investieren kann. Während die meisten Privatanwender zu den günstigen Software-Firewalls greifen, empfehlen sich Appliances für kleinere Büros oder Firmen, weil sie mit diesen Systemen viel Sicherheit mit wenig administrativem Aufwand bekommen. Große Firmen oder leidenschaftliche Administratoren brauchen unter Umständen die Möglichkeit, am Betriebssystem unter ihrer Firewall-Software bestimmte Dinge zu automatisieren und sollten daher auf reine Software und selbst konfigurierbare Betriebssysteme zurückgreifen. Bei hohem Netzwerkdurchsatz empfiehlt sich ein Test ASIC-basierter Systeme, auch wenn jeder versichert, seine Appliances seien mittlerweile ebenso schnell.
| Port | wird verwendet von: |
| 20 | FTP Daten (File Transfer Protocol) |
| 21 | FTP (File Transfer Protocol) |
| 22 | SSH (Secure Shell) |
| 23 | Telnet |
| 25 | SMTP (Sendmail Transfer Protocol) |
| 43 | Whois |
| 53 | DNS (Domain Name Service) |
| 68 | DHCP (Dynamic Host Control Protocol) |
| 79 | Finger |
| 80 | HTTP (Hypertext Transfer Protocol) |
| 110 | POP3 (Post Office Protocol Version 3) |
| 115 | SFTP (Secure File Transfer Protocol) |
| 119 | NNTP (Network News Transfer Protocol) |
| 123 | NTP (Network Time Protocol) |
| 137 | NetBIOS-ns |
| 138 | NetBIOS-dgm |
| 139 | NetBIOS |
| 143 | IMAP (Internet Message Access Protocol) |
| 161 | SNMP (Simple Network Management Protocol) |
| 194 | IRC (Internet Relay Chat) |
| 220 | IMAP3 (Internet Message Access Protocol 3) |
| 389 | LDAP (Lightweight Directory Access Protocol) |
| 443 | SSL (Secure Socket Layer) |
| 445 | SMB (NetBIOS über TCP) |
| 993 | SIMAP (Secure Internet Message Access Protocol) |
| 995 | SPOP (Secure Post Office Protocol) |
Eine komplette Liste aller Portnummern finden Sie hier:
- Portnummern-Liste der IANA (Internet Assigned Numbers Authority)[10]
Hier finden Sie Erläuterungen aus dem ZDNet Glossar[23] zu den verwendeten Fachbegriffen:
|
|
 | Firewalls zum Schutz des Computers vor Hackern, Datenklau und anderen Internet-Gefahren[24] Wer seinen Computer vor Hackerangriffen, Datenklau und anderen Gefahren, die im Internet lauern, schützen möchte, benötigt eine Firewall, die den Datenverkehr zwischen dem PC und dem Internet filtert. In diesem Weekly vorgestellte Tools bieten für verschiedene Ansprüche passende Lösungen. |
 | Sicher mit IP-Tools: Angreifer identifizieren, Löcher stopfen, anonym surfen[25] PCs mit Internet-Zugang sind Angriffen ausgesetzt, ob sie nun Teil eines Firmen-Netzwerkes sind oder Verzeichnisse für Nutzer von Tauschbörsen geöffnet haben. Die in diesem Weekly vorgestellten Tools helfen, Risiken zu erkennen und Gefahren abzuwenden. |
| Firewalls zum Schutz vor Angriffen aus dem Internet[26] Wer heutzutage ohne Firewall ins Internet geht, begibt sich in die große Gefahr, einem Hacker-Angriff ohne Abwehrmöglichkeit ausgeliefert zu sein. In diesem Weekly vorgestellte Firewalls blocken Angriffe und sorgen für ein sicheres Surfen im Internet. Dabei spielt die Benutzerfreundlichkeit eine wichtige Rolle, da die Firewall den User möglichst wenig stören, aber trotzdem vollständig sicher sein sollte. |
 | Komplette Sicherheitspakete: Schutz gegen Viren, Hacker und andere Bedrohungen aus dem Internet[27] Jeder an das Internet angeschlossene PC ist heutzutage den vielfältigen Bedrohungen ausgesetzt: Viren, Trojaner, Hacker, Spyware und Belästigungen wie Spam-Mails. Deshalb sollte jeder Internet-PC bestimmte Schutz-Software wie ein Anti-Viren- und Anti-Spyware-Tool und eine Firewall installiert haben. In diesem Weekly vorgestellte Software bieten diese Sicherheits-Tools unter einer einheitlichen Oberfläche an. |
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/
[26] = http:/
[27] = http:/