"Personal Firewalls" - Sinn oder Unsinn?

Was sind Personal Firewalls?

Als Personal Firewalls werden Zusatzprodukte - momentan meist für M$ Windows-Systeme - bezeichnet, die durch die Installation des jeweiligen Programmes die Sicherheit des Systems erhöhen sollen.
Dieser Sicherheitsgewinn soll meist durch die Überwachung der Netzwerkschnittstelle des Betriebssystems erreicht werden.

Was sagen Fachleute zu Personal Firewalls?

Hier scheiden sich die Geister: Einige "Sicherheitsexperten" halten einige Personal Firewalls für die ultimative Methode zum Sichern des heimischen PCs, bekannte Hacker bezeichnen Nutzer dieser Systeme schlichtweg als Idioten.

Welche Argumente sprechen für bzw. gegen eine Personal Firewall?

In diesem Ansatz sollen die einzelnen Ziele, die durch den Einsatz eines solchen Systemes erreicht werden sollen, analyisiert und kritisch diskutiert werden.

Schutz vor Einbrechern "aus dem Internet"
Um es Einbrechern möglichst schwer zu machen bietet man nur wirklich die Dienste extern an, die man der Allgemeinheit (oder einem ausgewählten Benutzerkreis) zugänglich machen will. Hier existieren - neben der Absicherung der Rechnerhardware selbst, die hier nicht betrachtet werden soll - zwei Möglichkeiten

a) Netzwerk-basierte Sicherheit
Bei diesem Konzept geht es um die Absicherung eines (heterogenen) Verbundes aus Computersystemen vor einem anderen Netzwerk. Dies geschieht unter anderem durch den Einsatz einer Firewall, eine genauere Erläuterung hierzu finden Sie in der F.A.Q der Newsgruppe de.comp.security.firewall von Lutz Donnerhacke. Netzwerk-basierte Sicherheitslösungen dienen als Ergänzung zur Absicherung des individuellen Rechners, sollten jedoch nie diese ersetzen.

b) Rechner-basierte Sicherheit
Hierbei geht es darum den einzelnen Rechner (der Teil eines Netzwerkes sein kann) soweit abzusichern, dass ein Eindringlich wenig Möglichkeiten hat diesen erfolgreich anzugreifen. Diese Absicherung geschieht durch das Einspielen neuester Programmversionen und Updates, sowie durch selektives Anbieten von Diensten für andere Benutzer.

Will man also nur einen Rechner absichern ist die Wahl eines netz-basierten Sicherheitssystems sicherlich nur der zweite Schritt: Zuerst sollte man den eigenen Rechner möglichst sicher konfigurieren. Hier gibt es mehrere Szenarien:

  1. Es sollen keine Dienste auf dem System angeboten werden: Dienste deinstallieren
  2. Es sollen Dienste nur für Rechner aus dem lokalen Netz angeboten werden: Dienste an entsprechende Netzwerkadapter (z.B. die Ethernetkarte) binden, Verbindungen (z.B. via Modem) nicht zulassen.
  3. Es sollen extern Dienste angeboten werden: Die gewünschten Dienste werden (selektiv!) angeboten.

Ist dies geschehen, so wird der Einsatz einer Personal Firewall zum Schutz vor Verbindungen an gefährliche Dienste (z.B. Windows Shares) oft nicht mehr benötigt:

  1. Werden keine Dienste angeboten so bietet die Personal Firewall keinen zusätzlichen Schutz vor externen Verbindungsversuchen (die sowieso scheitern).
  2. Werden die Dienste nur lokal angeboten nützt die Personal Firewall ebenfalls nicht (die externen Verbindungsversuche scheitern sowieso, da die Dienste nicht extern verfügbar sind).
  3. Da die Dienste extern angeboten werden sollen hilft eine Personal Firewall auch hier nicht, da sie ja höchstens die Verbindungen blockieren kann, was jedoch nicht erwünscht ist.

Fazit: Hier gewinnt man keine Sicherheit durch den Einsatz einer Personal Firewall.

Schutz vor Spyware und Hintertüren

Viele Personal Firewalls blockieren ausgehende Verbindungen von Programmen bzw. lassen den Nutzer eine Liste mit Programmen erstellen, die über das Netzwerk kommunizieren dürfen. Man verspricht sich davon, bösartige Programme die ungewünscht Daten via Netzwerk übertragen wollen zu erkennen und am Versenden zu hindern.
Dies ist sicherlich wünschenswert und sinnvoll, jedoch auf M$ Windows-Systemen nicht eindeutig zu erreichen:

  1. Angriffe auf die Personal Firewall selbst
    Durch Angriffe auf die Personal Firewall (die unter M$ Windows mit den gleichen Rechten wie ein bösartiges Programm läuft) kann die Personal Firewall ausgeschaltet oder deinstalliert werden. Den Quelltext eines Visual Basic-Programms, das diese Verfahrensweise mit dem Produkt Zonealarm demonstriert findet sich in der F.A.Q. der Newsgruppe de.comp.security.misc von Urs Tränkner.

  2. Umgehen der Personal Firewall
    Einige Viren und andere Programme bringen einfach ihre eigenen Netzwerkschnittstellen mit und verwenden nicht die von M$-Windows zu Verfügung gestelle Implementierung. Durch diese Vorgehensweise wird die Personal Firewall komplett umgangen, sie bietet also keinen Schutz.

Fazit: Vor bösartige Programmen bieten Personal Firewalls keinen zuverlässigen Schutz.

Schutz vor bösartigem Inhalt (Skripts und eingebettete Programm) von Internetseiten

Hier soll durch Analyse der Inhalt von Internetseiten ein Gefährdung des Benutzers ausgeschlossen werden. Auch hier sollte zuerst auf die sichere Konfiguration des Internetbrowsers geachtet werden, ist dies geschehen so bietet eine Personal Firewall wiederum keinen zusätzlichen Schutz (vergleiche Punkt 1 dieses Dokuments).

Schutz vor bösartigem Inhalt (Skripts und eingebettete Programm) von Emails

In der Vergangenheit haben Email-Viren bedeutenden Schaden angerichtet. Auch hier hätte durch die richtige Konfiguration des Email-Programmes (z.B. M$-Outlook) der Schaden abgewendet werden können (durch Deaktivierung nicht benötigter Funktionen (Skripte in Emails, HTML in Emails usw.) oder den Umstieg auf einen Mailclient, der von den Funktionen her ausreichend und nicht so fehleranfällig ist. Alternativen gibt es wie Sand am Meer).

Fazit: Bei sicherer Systemkonfiguration bietet eine Personal Firewall keinen zusätzlichen Schutz.

Was spricht gegen Personal Firewalls?

Das eine Personal Firewall keinen Sicherheitsgewinn bringt hat der obige Abschnitt gezeigt, was genau spricht jedoch gegen den Einsatz eines Systems?

  1. Durch Installation eines zusätzlichen Programmes steigt die Gefahr zusätzlicher Sicherheitslücken:
    Zumindest bei einem Produkt (Zonealarm) sind Fehler im Programm bekannt geworden, die es möglich machen die Filterkomponenten zu umgehen (hier: der Email-Filter).
    (Bugtraq Mailingliste vom 18.07.2001, Message-ID: 003701c10fa1$fa258a00$c60116c3@piii550)

  2. Dubiose Funktionsweise:
    Der Quelltext der Produkte liegt (meist) nicht offen, wie eine (kommerzielle) Personal Firewall genau agiert ist also nicht zu erkennen.

  3. Verunsicherung unbedarfter Benutzer durch Meldungen:
    "An ICMP echo-request attack from 192.168.1.12 has been blocked by the firewall".
    Solche (oder ähnliche) Meldungen klingen für unbedarfte Benutzer natürlich gefährlich, man freut sich über die erfolgreiche Personal Firewall oder klickt einfach verwirrt auf ok. Ob der Angriff einer ist und was zu tun ist wenn sich der Angriff wiederholt (z.B. weil der Benutzer am Rechner nebenan nochmal ping aufruft) bleibt dem Benutzer verschlossen.

  4. Erzeugen eines falschen Gefühls von Sicherheit:
    Durch dubiose Meldungen (s.o.) fühlt sich der Benutzer sicher (er hat ja eine "Firewall"), es besteht die Gefahr dass er sich zu sehr auf die Personal Firewall verlässt und unvorsichtig wird.

Zusammenfassung

Personal Firewalls - Sinn oder Unsinn? Nach obigen Betrachtungen ist das Ergebnis relativ eindeutig:

Durch eine Personal Firewall kann man momentan keine zusätzliche Sicherheit erreichen. Eine sichere und angemessene Installation und Konfiguration des Betriebssystems reicht völlig aus.

Alexander [Timeless] Böhm

Fragen, Anregungen und Kritik bitte per Email

--
(K) 2001 by Team Cauchy, reprint what you like, all rights reversed.