Foto: cybrain - shutterstock.com
Wenn es um Firewalls geht, gilt es, eine wichtige Unterteilung zu beachten. Eine direkt im Betriebssystem des laufenden Host-Computers installierte Lösung wird als "Personal Firewall" bezeichnet, während Varianten, die auf einer dedizierten Maschine (auch virtuell) zu betreiben sind, einfach nur Firewall genannt werden. Die Personal Firewall (PFW) überwacht den eingehenden und ausgehenden Netzwerkverkehr des lokalen Computers und ordnet diesen mitunter den jeweiligen Applikationen zu. Somit hat der Benutzer die Möglichkeit, einzelnen Programmen den Netzwerkzugriff zu verweigern oder nur ausgewählt Verbindungen zuzulassen.
Bei Personal Firewalls gilt es wiederum, verschiedene Varianten zu unterscheiden. Eine zustandslose PFW (stateless) entscheidet anhand von Eigenschaften, wie Quell- und Ziel-Adresse, oder -Port, ob eine Verbindung zulässig ist. Kontextsensitive (stateful) Personal Firewalls berücksichtigen hingegen bei der Entscheidung auch die bisher vorangegangenen Pakete. Applikations-Firewalls schränken Netzwerkaktivitäten für bestimmte Tasks oder Programme ein.
Die Standardfunktion "Blockieren von unerwünschten Verbindungen auf Port-Basis" erledigen alle Programme ohne Ausnahme. Schließt der Anwender alle Ports, greifen Port-Scanner folgerichtig ins Leere. Dass ein Computer ohne Netzwerkverbindung kaum Angriffsfläche bietet, ist nunmehr kein Geheimnis. Professionelle Angreifer missbrauchen ohnehin die Ports, die eigentlich immer offen sein müssen - der bekannteste Vertreter hierfür ist DNS - Port 53.
Modem/Router-Kombination
Klassischerweise nutzt die Mehrheit der Internetbenutzer die Modem-/Router-Kombinationen, um Internetverbindungen aufzubauen. Diese Systeme verfügen über eine eingebaute Firewall, die in der Standardeinstellung alle unaufgeforderten, eingehenden Verbindungen verwerfen. Nur durch eine explizite Konfiguration ("Portfreigabe") wird beispielsweise der Port 80 für einen lokal betriebenen Webserver durchgeschleust und einem Computer zugewiesen. Die bekannte FRITZ! Box aus dem Hause AVM bietet dabei folgende Sicherheitsfunktionen:
• Kein Gerät aus dem lokalen Netzwerk ist für andere im Internet sichtbar, so dass auch kein direkter Zugriff über das Internet auf die Geräte möglich ist. Dies wird auf TCP/IP-Ebene durch IP-Masquerading beziehungsweise Network Address Translation (NAT) gewährleistet.
• Die Firewall kontrolliert sämtliche ein- und ausgehenden Datenpakete und weist nicht angeforderte Daten aus dem Internet ab (Stateful Packet Inspection). Somit gelangen nur Datenpakete in das lokale Netzwerk, die direkte Antworten auf zuvor gestellte Anfragen darstellen.
• Alle TCP/UDP-Ports sind standardmäßig für eingehende Verbindungen aus dem Internet geschlossen und somit verborgen. Portscans liefern kein Ergebnis, es sei denn, der Benutzer hat Ports auf eigenen Wunsch freigeschaltet.
• Mit Paketfiltern verhindert die Box, dass Datenpakete ins Internet gelangen, die Informationen über das lokale Netzwerk beinhalten könnten.
Modeword: Next Generation Firewall
Immer häufiger taucht das Modewort "Next Generation Firewall" auf. Hierbei handelt es sich um die Weiterentwicklung der einfachen Firewall-Systeme hin zu ausgereifteren Sicherheitssystemen, zum Beispiel durch einen integrierten Virenschutz oder zusätzliche VPN-Fernzugriffe. Eine exakte technische Trennlinie für die Begrifflichkeiten gibt es jedoch nicht, da viele Hersteller dazu übergingen, "Next Generation" als Marketingbezeichnung zu nutzen.
Eine der wichtigsten Erkenntnisse im Zusammenhang mit Firewalls und Sicherheit sollte jedoch stets über jeder Lösung oder jedem Programm stehen: Die sicherste Firewall hilft wenig, wenn der Benutzer sie falsch konfiguriert. Wer sich mit Firewall-Technik auseinandersetzt, sollte wissen was er tut oder das ganze Unterfangen gleich einem Profi überlassen. Durch Experten betreute zentrale Firewalls gehören in vielen Firmen zur Grundausstattung. Wer lernen möchte, wie eine Firewall genau agiert, sollte sich zunächst in einer virtuellen Umgebung ein genaues Bild über die Software machen.
Die Verwendung einer Personal Firewall schließt üblicherweise nicht die Nutzung einer herkömmlichen Firewall aus. Beide Verfahren arbeiten problemlos auch gemeinschaftlich. Normalerweise steigt lediglich der Administrationsaufwand, da die Regeln für eine Software-basierte Personal Firewall komplett anders aufgebaut sind, als bei einer Hardware-Firewall. Im Fehlerfall, wenn eine Verbindung nicht zustande kommt, ist die Ursachenbestimmung bei mehreren gleichzeitig aktiven Firewalls eindeutig schwieriger.
Onboard - Windows Firewall
Bereits vor mehr als zehn Jahren integrierte Microsoft in das Windows-Betriebssystem eine eigene Firewall-Lösung, um das System vor ungewünschten Verbindungen zu schützen. Wurde die integrierte Schutzfunktion anfänglich von den Sicherheitsherstellern eher belächelt, hat sich das System nunmehr zu einer soliden Grundlage gemausert. Jedes Windows-System startet heute in der Grundeinstellung mit einer aktiven Firewall und blockiert zunächst einmal alle unerwünschten, eingehenden Verbindungen. Diese Grundkonfiguration stellt sicher, dass ein frisch aufgesetzter Server oder Client nicht sofort ein Opfer für Angreifer wird.
Im Vergleich zu den damals üblichen Personal Firewall Systemen ersparte Microsoft dem Anwender die vielen Rückfragen. Die Einrichtung der Firewall-Regeln übernehmen die Installer von Programmen zumeist selbst. Viele Programme tragen ihre Verbindungswünsche ordnungsgemäß in die Steuerungslisten ein, ohne dass der Benutzer hiervon Kenntnis haben müsste. Dies ist zumeist auch sinnvoll, insbesondere dann, wenn ein Laie am PC arbeitet. Eine Protokollierung von Aktivitäten und Maßnahmen findet statt - leise und unscheinbar in der Ereignisanzeige.
In einem Unternehmensnetzwerk erfreuen sich Administratoren über die Möglichkeit, die Konfiguration der Personal Firewall Regeln bequem per Gruppenrichtlinien anzugehen oder bei Bedarf auf netsh-Befehle zurückgreifen zu können. Qualitativ ist die Windows-Firewall vollkommen ausreichend, sofern die zuständigen IT-Mitarbeiter die Regeln sorgsam einpflegen und die Meldungen in der Ereignisanzeige im Auge behalten.
Vorteile der Windows Firewall:
• Kaum Störungen für den Benutzer
• Arbeitet eher still im Hintergrund
• Einfache Steuerung über Gruppenrichtlinien möglich
Nachteile der Windows Firewall:
• Lässt sich zu einfach abschalten
Fazit: Die Windows Firewall sollten Benutzer stets aktivieren. Administratoren in Active Directories sollten sich gezielt mit den Regeln auseinandersetzen und diese kostenlose Firewall auch im Unternehmensnetzwerk nutzen.
Alter Hase - Zone Alarm
Zone Alarm (ZA), heute vom IT-Security-Hersteller Check Point vertrieben, wird mit Fug und Recht als Urvater der modernen Personal Firewalls betrachtet. Vor Einführung der Windows Firewall war ZA die Software, die diese Aufgabe auf Windows-Maschinen typischerweise erbrachte.
Zone Alarm gibt es heute kostenfrei, auch wenn der Hersteller mit einigen Werbefenstern dafür sorgen möchte, dass der Kunde sich für die kostenpflichtige Variante "Pro" entscheidet. Die Basisfunktionen beider Versionen sind weitgehend identisch. Gezielter Download-Schutz oder stündliche Updates für den integrierten AV-Schutz bleiben dem Zahlenden vorbehalten.
Im Test zeigt sich ZA als äußert aufgeräumte und sehr einfach zu bedienende Software. Möchte der Anwender einer Applikation den Zugriff auf das Internet untersagen oder möchte zumindest im Vorfeld bezüglich des Zugriffs gefragt werden, ist dies mit wenigen Mausklicks erledigt. Die Liste der Applikationen ist auf jedem PC eher lang denn kurz. Glücklicherweise reagiert die Liste auf Eingaben von Buchstaben, um an die entsprechende Stelle zu springen.
Mitunter erscheinen Applikationen mehrfach. In unserem Test gab es zum Beispiel drei Einträge für den Opera Browser. Technisch ist dieses Verhalten einfach zu erklären, da der Anbieter des Browsers das Programm jeweils komplett in einem neuen Unterordner installiert. Folglich gilt es mehrere Regeln zu setzen oder stets den eindeutigen Launcher-Aufruf zu nutzen. Ansonsten gilt: Neuer Dateiname, neue Regel erforderlich - die altbekannte Herausforderung des Black-/White-Listings.
In den Tiefen der Einstellungen kann sich ein erfahrener Benutzer an vielen Details austoben. Für die meisten Anwender dürften die Schieberegler mit den Sicherheitseinstellungen vollkommen ausreichen. Ganz ohne Nachdenken geht bei ZA leider jedoch nicht.
Vorteile von Zone Alarm:
• Einfache Bedienung
• Warnung vor potentiell gefährlichen Webseiten (optionale Toolbar)
Nachteile von Zone Alarm:
• Keine Bildung von Applikationsgruppen (zum Beispiel: Browser)
Fazit: Die Free Firewall von Zone Alarm hält was sie verspricht. Einfach in der Bedienung und wirklich kostenfrei.
Gläserner Computer - GlassWire
Es gibt eine Vielzahl von kostenfreien Firewall-Lösungen für den eigenen PC. Glass Wire 1.2.96 ist noch recht jung am Markt und hat es geschafft, ein wenig optischen Schwung in die Thematik zu bringen. Funktionell unterscheidet sich Glass Wire ein wenig von den Marktbegleitern. Zudem sieht hier alles ein wenig moderner und hübscher aus. Die kostenfreie Variante der Software beschränkt sich auf die Basisfunktionen. Möchte der Benutzer unterschiedliche Regelwerke für verschiedene Netzwerkkarten hinterlegen, zum Beispiel über Aktivitäten eines neuen Geräts im Netzwerk, bleibt nur der Kauf der Software.
Startet eine Applikation erstmalig, gibt die Personal Firewall eine Meldung im Task-Bereich aus. Klickt der Benutzer schnell genug, kann er über das Menü die entsprechende Applikation blocken. Im Reiter "Firewall" zeigt das Programm alle blockbare Anwendungen. Allerdings listet die Software nur die Programme auf, die das Tool auch kennt. Ungewöhnlich: In der Standardeinstellung wird jeder Traffic erlaubt und erst durch einen Mausklick auf das als Flamme symbolisierte Firewall-Symbol unterbunden.
Im Register "Nutzung" fasst die Software alle Verbindungen nach Applikation, Host und Verkehrstyp zusammen. Eine überaus praktische Möglichkeit, um den tatsächlichen Datenverbrauch im Auge zu behalten. Nützlich ist dabei die untere "Zeitleiste", die der Anwender mit der Maus bedient. Wer wissen möchte, mit welchen Hosts der Computer vor ein paar Stunden Kontakt hatte und über welche Programme, kann dies mit Glass Wire schnell beantworten.
Vorteile von Glass Wire:
• Schnelle und unkomplizierte Auswertung
• Applikationen den Zugriff gezielt verbieten
• Praktische Ergänzung zur Windows Firewall
Nachteile von Glass Wire:
• Weniger eine Firewall, eher ein Add-On
Fazit: Glass Wire ergänzt die Windows Firewall und bietet die notwendigen Auswertungen.
Privatsphäre schützen - Free Firewall
Ein weiterer Vertreter der Personal Firewalls für die Windows Plattform ist die kostenlose "Free Firewall" von Evorim aus dem Kreichtal bei Karlsruhe. Das auf die Entwicklung von Sicherheits-Software orientierte Unternehmen bietet hier ein sehr professionell aufgebautes Produkt für Privatanwender kostenlos an.
Trotz der vielen Einstellungsmöglichkeiten bietet die Software äußerst charmante Features. Einen Betriebsmodus "Paranoid" zu nennen, zeigt unmissverständlich, in welche Richtung es gehen soll. In dieser Betriebseinstellung wird ohne vorherige Genehmigung kein Byte über das Netzwerk transportiert. Wer weniger radikal mit der Software starten möchte, greift zum "Gutgläubig"-Modus.
Durch viele Besonderheiten macht die Software positiv auf sich aufmerksam. Anstelle ins Gehege zu geraten, unterstützt das Programm explizit die Verwendung im kooperativen Modus mit anderen FW-Lösungen. Telemetrieinformationen, die sich besonders gern Microsoft schicken lässt, kann der Benutzer mit der Free Firwall ganz einfach unterbinden.
Vorteile von Free Firewall:
• Leistungsfähig und einfach zu bedienen
• Viele Zusatzfunktionen
• Mehrsprachig
Nachteile von Free Firewall:
• Es gibt keine Nachteile
Fazit: Glass Wire ergänzt die Windows Firewall und bietet die notwendigen Auswertungen.
Zentrale Appliance - Endian
Linux bietet sich als Grundlage für Security Appliances förmlich an. Das Betriebssystem ist kostenfrei, der Quellcode steht für eigene Anpassungen zur Verfügung und ist bestens dokumentiert. Die Endian Firewall aus Südtirol ist eine spezielle Distribution mit den Funktionen Routing, Firewall und Gateway. Primär vertreibt der Hersteller seine Appliances als Hard- oder Software-Varianten in einer höheren Ausbaustufe "Unified Threat Management" (UTM) und garniert die Professional-Edition mit Mobile iOS/Android-VPN und BYOD/Hotspot-Management.
Befreit von all diesen Zusatzfunktionen ist die "Endian Firewall Community"-Variante die kostenfreie Basis-Software. Die Installation auf einem älteren PC oder als virtuelle Maschine stellt für sattelfeste IT-Experten sicherlich kein Hexenwerk dar. Die Community-Edition in der GPL-Edition ist gänzlich ohne Support und erhält Features der Primär-Software erst mit zeitlicher Verzögerung.
Insgesamt gefällt das Konzept der verschiedenfarbigen Netzwerkbereiche: rot für das ungesicherte Internet, grün für das sichere Intranet, orange für die DMZ und blau für das teilsichere WLAN.
Vorteile der Endian Firewall Community:
• Leistungsfähiges Gesamtsystem
• Kostenfreier Einstieg über Basis-Software
• Geringe Leistungsanforderung
Nachteile der Endian Firewall Community:
• Kein Support
• Fachwissen erforderlich
Fazit: Eine zentrale Firewall ist eine ideale Ergänzung zur Personal Firewall. Die Endian Lösung braucht nur wenig Ressourcen, wohl aber einiges Fachwissen.
Sophos UTM - Home
Der Sicherheitsexperte Sophos übernahm vor einigen Jahren die Produkte aus dem Hause Astaro. Die komplett kostenlose "Home Use Firewall" ist eine voll funktionsfähige Variante der Sophos UTM für Privatanwender. Die Software beinhaltet die Vollversionen der normalerweise kostenpflichtigen Abonnements für "Network Protection", "Web Protection", "E-Mail Protection" und "Webserver Protection" und schützt maximal 50 IP-Adressen im LAN. Selbst die VPN-Funktion steht dem Privatnutzer kostenfrei zur Verfügung.
Die UTM-Firewall verfügt über ihr eigenes Betriebssystem und überschreibt während des Installationsvorgangs alle Daten auf dem Computer. Eine Installation auf einem virtuellen Computer ist ebenfalls möglich. In Bezug auf den Funktionsumfang steht diese UTM den Profivarianten um nichts nach. Sie ist lediglich begrenzt durch die maximal 50 IP-Adressen.
Vorteile der Sophos UTM Home Edition:
• Voller Leistungsumfang
Nachteile der Sophos UTM Home Edition:
• Hardware und Fachwissen erforderlich
Fazit: Die UTM Home Edition von Sophos ist so etwas wie die Königsklasse der freien Firewall-Lösungen. Wer auf professionelle Features und fein steuerbare Regeln nicht verzichten möchte, ist bei Sophos an der richtigen Adresse. (hal)