Wozu Personal Firewalls innerhalb eines Netzwerks?
Üblicherweise schützt die primäre Firewall eines Unternehmens den Ein- und Ausgang in Richtung Internet oder zu anderen angeschlossenen Netzwerken. Kommt es innerhalb des eigenen Netzwerks zu einem sicherheitsrelevanten Problem, sind die Client-Systeme ungeschützt. Daher empfiehlt sich der Einsatz der Personal Firewalls auf diesen Rechnern. Server-Systeme sollten durch eine weitere, zentrale Firewall gegenüber dem Client-Netzwerk geschützt sein.
Sind Firewall-Lösungen denn nicht teuer?
Die Preisgestaltung bei den Firewalls ist sehr unterschiedlich. Personal Firewalls für PC und Mac sind oft kostenlos. Hardware-basierte Systeme sind indes kostenpflichtig. Grundversionen, wie beispielsweise Astaros Essential Firewall, stehen zur lokalen Installation oder als virtuelle Maschine (VM) häufig ebenfalls kostenlos bereit. Wer ein ordentliches Management, zuverlässig Updates für die Systeme und lesbare Anleitungen und Empfehlungen haben möchte, wird sich für ein etabliertes und kostenpflichtiges System entscheiden müssen. Wer selbst weiß, wie sich ein Kernel auf den gewünschten Funktionsumfang reduzieren lässt, der kann mit der Unix IPFW auch seine eigene Firewall aufsetzen und konfigurieren.
- Gut gemeint, aber nicht immer hilfreich
Viele Firewall-Lösung zeigen den Anwendern eine große Anzahl an kryptischen Meldungen, die dann zum schnellen „Wegklicken“ verleiten, da sie nicht verstanden werden. - Ungut – aber leider sehr verbreitet
Die freie Lösung PC Tools Firewall Plus versucht bei der Installation einen sogenannten Toolbar mit auf das System zu bringen. Wer hier zu schnell auf „Weiter“ drückt, muss diesen später wieder per Hand entfernen. - Aufgeräumte Oberfläche, die nur einen kleinen Hinweis auf die kostenpflichtige Version zeigt
So würden wir uns alle freie Versionen von Firewall-Lösungen wünschen. - Gute Benutzerführung
Der Anwender kann schnell und leicht selbst entscheiden, welche Einstellungen er für seinen Schutz bevorzugt – hier die Einstellungen, die bei der PC Tools Firewall im Tasktray bereitstehen. - Klare Aussagen
Die Firewall meldet dem Anwender, welches Programm Zugang zum Netz verlangt. Wer mehr Informationen haben oder gar selbst eine Regel definieren (beziehungsweise ändern) möchte, kann diese ebenfalls direkt hier tun. - Die erweiterten Einstellungen
Hier können die Nutzer für jede Anwendung direkt entsprechende Regeln festlegen und dabei auch komplexere Bedingungen verwenden, deren Einstellungen gut unterstützt werden. - Der Leaktest
Diese Test-Software schickt einen beliebigen Teststring über eine HTTP-Verbindung an der Firewall-Software vorbei auf eine Webseite, was kaum eine freie Lösung (hier der Versuch mit der PC Tools Firewall) erkennen kann. - Frei und gratis – da gibt es doch Unterschiede
Wer die kostenfreie Version der Outpost Security Suite wirklich vollständig und länger als zwei Tage nutzen will, muss sich beim Hersteller registrieren. - Auch hier geht es leider nicht weiter
Ein Doppelklick auf die Prozesse führt auf eine Werbeseite des Herstellers und der Rechtsklick zeigt in dieser Meldung, dass die Befehl in dieser Version leider nicht zur Verfügung stehen. - Die Anti-Leak-Komponente konnte nicht überzeugen
Erst nachdem die Testsoftware per Hand in der Firewall und den Anti-Leak-Einstellungen blockiert wurde, reagierte die Lösung. Zuvor hatte auch sie den String kommentarlos passieren lassen. - Auch hier wieder der unerwünschte Zusatz
Anwender, die bei der Installation nicht genau hinschauen, bekommen auch bei der Comodo-Firewall ein zusätzliche Programm (in einer 60-Tage-Versio) auf ihrem Rechner installiert. - Grundsätzlich gute Idee – aber wie weit vertraue ich dem Anbieter dieser Software?
Mit der Umlenkung der DNS-Abfragen auf eigne Server des Herstellers Comodo will dieser die Möglichkeit von Angriffen auf die DNS-Infrastruktur herabsetzen. - Direkt nach der Installation aktiv
Die Comodo-Firewall meldet nicht nur das entdecke Netzwerk der Testumgebung, sondern hat auch gleich den Zugriff durch unseren Arbeitsrechner auf die Testmaschine registriert. - Volle Kontrolle über die Anwendungen
In der Comodo-Firewall sieht ein Nutzer nicht nur, welche Anwendungen auf dem System gerade aktiv sind, er kann die Verbindung im Zweifelsfall auch direkt unterbrechen. - Die Windows-Firewall wird deutlich „gesprächiger“
Mit der Windows 7 Firewall Control von Sphinx Software wird die Bedienung der Firewall deutlich übersichtlicher – wenn der Anwender genügend Englisch versteht. - Mehr Kontrolle und Überblick
Die neue Schnittstelle zeigt auch deutlich, dass die standardmäßig zur Verfügung stehende Windows-Firewall durchaus detailliert konfiguriert werden kann. - Kleine, unauffällige Veränderung
Nach der Installation der Firewall-Erweiterung der Firma Binisoft steht ein direkter Zugriff auf die Einstellungen der Schutzvorrichtung im Tasktray bereit. - Wird dem Anwender nicht viel helfen
Ein Klick auf „Advanced Security“ startet dann einfach die MMC (Microsoft Management Console), die auch standardmäßig auf dem System zur Verfügung steht.
Firewall-Regeln sind doch zu kompliziert!
Wer mit den Abkürzungen und Begrifflichkeiten wie UDP, TCP, Ports, NetBIOS oder Ping nichts anfangen kann, der sollte tunlichst nicht versuchen, die Regeln für eine Firewall selbst einzustellen. Die Gefahr, dass dabei aufgrund aus einem Verständnisproblem ein ausgewachsenes Sicherheitsproblem wird, ist einfach zu groß. Jeder größere Hersteller von Firewall-Systemen, beispielsweise Barracuda, bietet für seine Systeme verschiedene Kurse und Schulungen an, um das entsprechende Wissen zu vermitteln. Dabei wird das technische Verständnis für die Abläufe von Kurs zu Kurs erhöht.
Äußerst praktisch für das Erlernen der Firewall-Einstellung sind die Virtualisierungstechniken von VMware, Parallels oder Oracles VirtualBox. Mit dieser Software können Anwender sehr leicht virtuelle Computer aufbauen und von "außen" auf deren Netzwerkinterfaces einwirken. Die höhere Schule stellt dann das Ausnutzen von Sicherheitslücken im Zusammenspiel mit offenen Ports dar - hierfür eignen sich beispielsweise die Lösungen aus dem Hause RAPID7.
Sofern es sich nicht verhindern lässt, dass ein eher unbedarfter Benutzer für die Einstellungen der eigenen Firewall-Regeln zuständig ist, gilt folgender, einfacher Grundsatz: Zunächst alles zu! Dabei werden in einem ersten Schritt zunächst einmal alle Verbindungen blockiert, um dann nach und nach sukzessive mit Hilfe des Assistenten die benötigten Ports zu öffnen.