Firewalls: Wie die Netzwerkhüter Angriffe aus dem Web abwehren

Während Firewalls noch vor wenigen Jahren großen Unternehmen vorbehalten waren, besitzt mittlerweile jeder kleine ISDN- oder DSL-Router diese Funktion. Und wer sich direkt per Modem, sei es analog oder DSL-digital mit dem Internet verbindet, kann auf Software-Firewalls zurückgreifen, die den gleichen Zweck erfüllen. Unterschiede gibt es natürlich trotzdem, auch wenn die allgemeine Funktion mit „ein Gerät, das den Netzwerkverkehr anhand von definierten Regeln filtert und nur erwünschte Pakete an ihr Ziel kommen lässt“ simpel und klar beschrieben ist.

Firewalls erreichen dieses Ziel, indem sie Pakete, die durch sie passieren wollen, einer Prüfung unterziehen. Die abgefragten Kriterien können vielfältig sein, die IP-Adresse von Sender und Empfänger zum Beispiel, das verwendete Protokoll oder der Port, den das Paket ansprechen will. Hat der Benutzer eine Regel definiert, die auf das Paket anwendbar ist, greift die Firewall auf das Default-Verhalten zurück. Normalerweise verwirft sie dann das Paket.

Eine optimal konfigurierte Firewall gibt nur so viele Ports frei wie unbedingt nötig – und blockt kategorisch alle anderen Verbindungen.

Hier unterscheiden sich beispielsweise Hardware-basierte Firewalls und Softwareausführungen, die als „Personal Firewall“ bezeichnet werden, erheblich. Fast jede Hardwarevariante für den Heim- und SOHO-Bereich blockt alle eingehenden Verbindungen und ist durchlässig für alle Pakete die aus dem eigenen Netz nach Draußen wollen. Das klingt nach einer vernünftigen Lösung, lässt aber Schwachstellen in der Anwendungssoftware oder dem Betriebssystem außer Acht. Denn hat ein Schädling Programmierfehler, zum Beispiel des Internet Explorers, ausgenutzt, kann er vom lokalen PC aus ungehindert eine Verbindung nach Außen aufbauen. Personal Firewalls haben hier einen Vorteil. In der Regel blockieren sie zunächst alle Verbindungen, egal ob ein- oder ausgehend. Möchte ein Programm mit der Außenwelt kommunizieren, fängt die Firewall die Verbindung ab und zeigt ein Fenster an, das Informationen wie Anwendung, Ziel und Port enthält. Der Benutzer kann nun zustimmen oder ablehnen. Doch gerade unerfahrene Benutzer können nicht entscheiden, ob die Anfrage von einem harmlosen Programm kommt oder durch einen Schädling ausgelöst wurde. In dem Fall klicken viele Anwender auf „Zulassen“ – und hebeln so ihre Firewall komplett aus.

Eine komplett geschlossene Firewall für Ein- und Ausgang schützt wirkungsvoll vor Angriffen. Allerdings könnte man den PC dann genauso gut vom Netz trennen, denn Kommunikation ist nicht mehr möglich. Die Regeln, nach denen eine Firewall den Zugang beschränkt oder verwehrt, müssen durchdacht sein. Ein wichtiges Kriterium ist dabei die IP-Adresse. Wer seinen Spieleserver für die Kumpels um die Ecke freigeben will und für sonst niemand, könnte eine Regel erstellen, die die Firewall für deren IP-Adressen öffnet. Leider macht die übliche Praxis der Internet-Service Provider, nur dynamische IPs zu vergeben, das weitgehend unmöglich. Wer es trotzdem versuchen will, muss vor dem Erstellen der Regel mit seinen Freunden telefonieren und deren aktuelle, im Internet sichtbare, IP-Adressen erfragen. Trägt er diese in die Regel ein, funktioniert der Zugriff, bis der Provider neue dynamische IPs verteilt. Mit dynamischen Hostnamen, wie sie beispielsweise DynDNS anbietet, kann fast keine Firewall umgehen.