5. Warum keine "personal firewall"?

Dieser Artikel ist meine subjektive Meinung, die sich aus meiner Erfahrung heraus gebildet hat. Er bezieht sich nur auf Windows Firewall Programme die auf Arbeitsrechnern installiert werden, um gegen das Internet "abgesichert" zu sein. Er richtet sich ausdrücklich NICHT gegen Firewall Lösungen auf eigens dafür eingerichteten Rechnern bzw. Routern.

Früher hatte ich immer empfohlen, eine "personal firewall" (PF) wie zB. ZoneAlarm zu installieren. Mittlerweile bin ich davon abgekommen.

Warum? - Fragwürdige Funktionalität.

Um den eigentlichen Unsinn einer "personal firewall" zu durchleuchten, ist es nötig, die einzelnen Teile, die eine handelsübliche (Windows) Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.

"application control"-Funktionalität
Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation läuft, überwachen zu können, ist gelinde gesagt einfach unsinnig. Es ist gezeigt worden, dass eine personal firewall durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Käufer dieser PF gerne glauben lassen möchte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage für einen Paketfilter unbrauchbar werden läßt (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software läuft unter denselben Rechten. Eine personal firewall genauso wie das trojanische Pferd. Im Zweifelsfall beendet die "böse Software" die "personal firewall" einfach. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfällig. Der einzig effektive Weg, sich gegen bösartige Software zu schützen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.

IDS-Funktionalität
Unter IDS versteht man ein "intrusion detection tool", sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reißerischen Meldung honoriert werden: "hack attack auf Port xxx blocked!" - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen können, derart zu umschreiben. Ich persönlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall hätte etwas getan, was ansonsten enormen Schaden angerichtet hätte. Dem ist aber nicht so. Keine Dienste = keine Angriffsfläche. IDS-Systeme sind für richtige Firewallsysteme interessant, aber nicht für Privatanwender, die üblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die "Attacken" auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine "personal firewall" jemals könnte. Letzteres bezieht sich wie oben schon erwähnt, explizit auf die Windows Personal Firewalls. Eine gut konfigurierte Paketfilterfirewall auf einem Router stellt natürlich einen wirksamen Schutz dar.

Paketfilterfunktionalität
Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusätzliche Angriffsfläche bietet. Soll heißen: Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (Ein Erfahrungswert). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalität bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt übrigens noch einen weiteren Nachteil in Sachen Paketfilter: Die derzeit erhältlichen "personal firewalls" können kein "stateful filtering", soll heissen, aktive Protokolle á la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird nämlich zum Server und bindet einen temporären Dienst auf einem der High Ports (also größer 1023), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die "personal firewall" nun wissen, dass sie für genau diese Anwendung genau diesen Port, und auch nur für dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.

Was aber kann eine "personal firewall"?

• Eine "personal firewall" kann einen falsch konfigurierten Rechner für PortScanner "unsichtbar" machen.
• Sie kann bestimmte Programme (aber bei weitem nicht alle!) davon abhalten "nach Hause zu telefonieren", bei manchen "personal firewalls" kann man auch Programmen bestimmte Ports verbieten was sinnvoll sein kann.
• Man sieht ungefähr was verbindungsmäßig los ist.

Das ist alles und das ist nicht viel. Denn potentielle Angreifer wissen alleine durch Ihre Internetaktivität (zB. in Foren), daß Sie online sind. Weiters gelten die im Abschnitt "Wie werde ich angegriffen?" angeführten Punkte. Und einen PC richtig zu konfigurieren wird im Punkt "Wie kann ich mich schützen" abgehandelt.

Mein Resümee: Die Vorteile einer PS erfüllen meist schon Freeware Programme. Geld in eine solche Lösung zu investieren lohnt sich meiner bescheidenen Meinung nach nicht. Da ist es schon besser, das Geld in einen Hardware Router mit Firewall Funktionalität zu stecken, oder überhaupt eine Hardware Firewall anzuschaffen. Für Schüler und Studenten ohne Geld aber mit viel Zeit lohnt es sich einen alten Rechner in einen Linux Router mit Paketfilter Firewall umzubauen. Anleitungen dafür zB.: unter http://www.fli4l.de oder auf meiner Seite: Netzwerk mit gemeinsamen Internetzugang einrichten

Um zu verhindern, daß ein Trojaner auf Ihr System gelangt verwenden Sie Antivirenscanner die auch neben Würmen und Computerviren die meisten Trojaner aufspüren können. Siehe Maßnahmen gegen Viren.

Zurück

Fragen?