Personal Firewall-FAQ, von Rokop Security Einstellungen

[Gast_Bo Derek_*]

Was bedeuten die folgenden Begriffe: Protokoll, Port, Dienst, Portscan, Freigabe, Bindung?
Die folgenden Begriffe tauchen in dieser FAQ häufig auf und werden deshalb zu Beginn kurz erläutert.
Protokoll: Ein Protokoll ist nichts anderes als eine Art Sprache. Diese "Sprache" dient der Verständigung zwischen Computersystemen. Zwei Computer müssen das gleiche Protokoll kennen, um eine Verbindung untereinander herstellen zu können.
Port: Computersysteme kommunizieren mit Hilfe von Ports miteinander. Die Portnummer unterscheidet die unterschiedlichen Anwendungen und Dienste.
Dienst: Wenn ein Computer Dienste in das Netz anbietet, spricht man von einem Server. Computer, die diese Dienste in Anspruch nehmen, nennt man Clients. Jeder Computer kann, muß aber nicht, Client und Server zugleich sein. Diese Dienste, auch Services oder daemons genannt, können z.B. Webserver, auf denen sich Internetseiten befinden, sein; oder ein Mailserver, um elektronische Post zu verschicken. Es gibt sehr viele verschiedene Arten von Servern, die unterschiedlichen Zwecken dienen. Mit Hilfe von Ports werden die einzelnen Dienste auf einem Computer unterschieden. Insgesamt gibt es 65535 Ports, ein Webserver nutzt den Port 80, ein Mailserver die Ports 25 und 110.
Portscan: Um festzustellen, welche Dienste ein Server anbietet, werden Portscans angewandt. Ein Portscan ist ein Versenden von Anfragen an die unterschiedlichen Ports eines Computers, und an der Art der Antwortpakete läßt sich erkennen, ob der angefragte Rechner diese Dienste anbietet.
Freigabe: Unter Windows-Computern ist es möglich, den Drucker, Teile der Festplatte, einzelne Ordner oder die gesamte Festplatte an das Netzwerk freizugeben. Dadurch ist es anderen Benutzern möglich, auf diese Daten zwecks gemeinsamer Nutzung zuzugreifen. Über falsch konfigurierte Freigaben können böswillige Nutzer anderer Computer die Festplatte löschen oder Schadsoftware aufspielen.
Bindung: Als Bindung bezeichnet man das Festlegen eines bestimmten Protokolls oder Dienstes an eine bestimmte Netzwerkschnittstelle, z.B. die DFÜ-Verbindung oder eine Netzwerkkarte. Bindungen werden vorgenommen, damit Computer auf ihren Netzwerkschnittstellen erreicht werden können, und sie werden gelöst, damit Dienste nicht an Schnittstellen zur Verfügung stehen, wo sie nicht erwünscht sind.

Was ist eine Personal Firewall?
Als Personal Firewall bezeichnet man ein Programm, welches auf dem zu schützenden Computer läuft und auf diesem die Netzwerkkommunikation kontrollieren soll. Sie soll zum einen unerwünschte Zugriffe von außen abweisen, und zum anderen kontrollieren, ob die Anwendungsprogramme des Nutzers ins Netz dürfen. Eine Personal Firewall, PF abgekürzt, wird oft auch als Desktop-Firewall bezeichnet. Einfach ausgedrückt, ist eine Firewall ein Filter, der erwünschte Kommunikation zuläßt und unerwünschte Kommunikation blockiert.

Was ist der Unterschied zu einer "richtigen" Firewall?
Eine "richtige" Firewall wird im Gegensatz zur Personal Firewall nicht als Stück Software, sondern als Konzept angesehen, welches ein zu schützendes Netz (z.B. das interne Netzwerk der Firma) von einem externen nicht vertrauenswürdigen Netz (z.B. dem Internet) trennt. Zu diesem Konzept gehören u.a. mehrere Paketfilter, die auf verschiedene Weise implementiert werden können. Da diese FAQ aber hauptsächlich Heimanwender ansprechen soll, geht der Autor auf "richtige" Firewalls nicht näher ein.

Ist mein Rechner mit einer Firewall sicher?
Zunächst einmal steht die Frage, wovor sich der Anwender sicher sein will. Um sich vor allen erdenklichen Bedrohungen des Internets zu schützen, ist es nur möglich, den Netzstecker zu ziehen oder das Kabel zu kappen. Daher ist es zweckmäßig, sich zu überlegen, welchen Gefährdungen der Anwender ausgesetzt ist und wie er diesen gegenübertreten kann. Das Durchlesen dieser FAQ soll dem Anwender die dazu nötigen Tipps liefern.

Gibt es 100%ige Sicherheit?
Eine 100%ige Sicherheit gegenüber allen möglichen Gefährdungen trotz Netzverbindung kann es nicht geben, da niemand in der Lage ist, alle möglichen Gefahren vorherzusehen und auch ständig neue Sicherheitslücken auftauchen. Wenn von hundertprozentiger Sicherheit gesprochen wird, ist diese stets auf eine ganz bestimmte einzelne Bedrohung bezogen. Eine derartige Bedrohung kann beispielsweise das Einschleppen eines Computerviruses per eMail sein. Sieht sich der Benutzer einer solchen Gefahr gegenüber, sollte er wirksame Maßnahmen treffen, um den Schaden zu verhindern. Bei Unklarheiten und Fragen stehen die o.g. Foren zur Verfügung.

Welche Firewall schützt mich am besten?
Es sind sehr viele unterschiedliche Produkte auf dem Markt, die auch mit verschiedenartigen Funktionen ausgestattet sind. Der Anwender muß entscheiden, was er benötigt. Eine "die beste" Firewall gibt es nicht.

Ist es sicherer, wenn ich mir mehrere Personal Firewalls installiere?
Wenn mehrere Firewalls installiert werden, so ist es sehr wahrscheinlich, daß sich diese im Betrieb gegenseitig behindern.

Meine Firewall meldet, daß ich angegriffen werde. Was bedeutet das und was kann ich jetzt tun?
Die Firewall hat lediglich gemeldet, daß sie ein unbekanntes Paket erhalten hat. Selbst wenn sie gemeldet haben sollte, daß das Paket für ein Trojanisches Pferd bestimmt war ("Die Regel Standard-Subseven blockieren hat Kommunikationen blockiert"), bedeutet das nicht, daß der PC von einem Trojaner befallen ist. Ist sich der Anwender nicht sicher, ob sich ein derartiges Schadprogramm auf seinem PC befindet, sollte er seinen PC mit einem Antivirus- oder Antitrojanerprogramm untersuchen. Die bei diesem vermeintlichen Angriff von der Firewall gemeldete IP-Adresse des "Angreifers" kann gefälscht sein. Deshalb sind Maßnahmen wie z.B. ein "zurückhacken" unangebracht.

Ich habe gelesen, daß manche Programme Kontakt zum Hersteller aufnehmen. Was kann ich dagegen tun?
Manche Programme nehmen über das Internet Kontakt zum Hersteller auf, um dort z.B. die Gültigkeit der Seriennummer zu verifizieren oder um nach Updates Ausschau zu halten. Diese Funktion, oft auch Phonehome genannt, ist von vielen Anwendern unerwünscht, läßt sich aber meist in den betreffenden Programmen abstellen. Einige ältere Programme lassen sich mit Hilfe der Firewall davon abhalten, Kontakt zum Hersteller aufzunehmen. Viele neuere Programme sind jedoch in der Lage, mit Hilfe anderer, von der Firewall erlaubter Programme, wie z.B. dem Internetbrowser oder dem Mailprogramm, die Firewall zu umgehen. Somit ist hier kein sicherer Schutz gewährleistet. Besser ist es, derartige an Heimweh leidende Programme gar nicht erst zu benutzen. Ob ein Programm Kontakt aufnehmen will, steht häufig auch in den Lizenzbedingungen des betreffenden Programms oder läßt sich im Internet in Erfahrung bringen.

Ich habe mir eine Firewall installiert. Seit dem funktioniert ein bestimmtes Programm nicht mehr. Was muß ich tun?
Alle Firewalls haben eine Ereignisprotokoll- oder Loggingfunktion, die abgelehnte Verbindungen aufzeichnet. Sollte im Firewallprotokoll nichts von einem blockierten Programm erwähnt werden, kann auch eine generelle Unverträglichkeit der Firewall mit dem Betriebssystem oder der Anwendung vorliegen. Der Anwender muß jetzt eine Regel erstellen, die die betreffende Kommunikation freigibt.

Meine Firewall meldet mir, daß ein neues Programm auf das Internet zugreifen will. Wie gehe ich vor?
Zunächst einmal ist es ratsam, diese Verbindungsversuche zu blockieren, da es sich um ein Schadprogramm handeln könnte. Wenn dann das Programm nicht wie erwartet funktioniert, kann man es nach und nach für den Internetzugriff freigeben. Auch eine Internetsuchmaschine, die mit dem Namen des Programms gefüttert wird, kann hilfreiche Ratschläge zur Gefährdungseinstufung geben. Bei Fragen im Forum ist zu beachten, daß dem Fragenden nur geholfen werden kann, wenn er nicht nur den Namen des Programms, sondern auch die Zieladresse und den Zielport angibt. Windows-Systemdienste, wie z.B. die svchost.exe, können gewöhnlich freigegeben werden.

Wie schütze ich mich vor Hackangriffen?
Um unerlaubte Zugriffsversuche von außen zu unterbinden, sollte der Anwender alle nichtbenötigten Dienste abstellen. Für Windows 2000 und höher ist unter ntsvcfg.de und dingens.org eine bebilderte Anleitung zu finden. Ein weiterer wichtiger Punkt ist das Installieren von Updates für Windows, zu finden unter http://windowsupdate.microsoft.com sowie der Updates für andere eingesetzte Software.

Schützt die Firewall vor Trojanern?
Nein. Es gibt sehr viele Möglichkeiten, wie sich Schadsoftware in das System einklinken kann. Die einfachste Variante ist dabei noch das Mißbrauchen des durch die Firewall zugelassenen Internetbrowsers, um Daten zu versenden und zu empfangen. Viele trojanische Pferde sind darüberhinaus in der Lage, die Firewall unbrauchbar zu machen. Sinnvoll ist der Einsatz eines Antivirusprogramms.

Wird mein eMailprogramm oder mein Internetbrowser von der Firewall geschützt?
Nein. Gerade durch unsichere Internetbrowser oder Mailprogramme werden häufig Schädlinge eingeschleppt, die sogar die Firewall unbrauchbar machen können. Besser ist es, den Browser und das Mailprogramm auf dem neuesten Stand zu halten.

Schützt meine Firewall vor Fehlern in meinen Anwendungsprogrammen?
Eine Firewall überwacht nur Netzwerkverbindungen, die den Rechner verlassen oder betreten. Was auf dem PC lokal passiert, kann sie nicht überwachen.

Schützt mich die Firewall vor Viren?
Viren werden in Form von Programmdateien eingeschleppt. Eine Personal Firewall ist nicht in der Lage, diese Pakete zu analysieren. Besser ist die Verwendung eines Antivirusprogramms.

Schützt mich eine Firewall vor Dialern?
Ein Dialer verursacht hohe Telefonkosten, in dem er über das Modem oder den ISDN-Adapter eine teure Nummer anwählt. Eine Firewall überwacht nur übertragene Pakete, nicht jedoch die DFÜ-Verbindungen. Besser ist es, bei der Telefongesellschaft alle 0190er Nummer sperren zu lassen.

Schützt mich meine Firewall vor eMail-Würmern?
Ein eMail-Wurm ist ein Schadprogramm, welches sich automatisch an alle auf dem Computer gespeicherten Mailadressen weiterversendet. Manche älteren Mailwürmer können durch Firewalls an ihrer Verbreitung gehindert werden. Sie verhindern jedoch nicht, daß der eigene Rechner infiziert wird.

Wie finde ich heraus, ob ich einen Trojaner auf meinem PC habe?
Zu diesem Zweck bieten sich für den unerfahrenen Anwender Antivirus- und Antitrojanerprogramme an. Rokopsecurity.de hat diverse Antivirus- und Antitrojansoftware getestet.

Was ist der beste Schutz gegen Trojanische Pferde?
Kritisch sein. Wichtig ist es, nicht alles zu starten, was man per eMail geschickt bekommt oder was sich auf Webseiten installieren läßt.

Wie schließe ich einen bestimmten Port?
Prinzipiell sind über offene Ports Angriffe möglich. Das reicht vom simplen Ausspionieren von Daten bis hin zu DoS-Attacken, die den dahinterliegenden Dienst deaktivieren können. Das Programm ActivePorts von http://www.ntutility.com zeigt an, welche Ports auf dem lokalen Rechner geöffnet sind und welche Programme oder Dienste dafür verantwortlich sind. Durch das Deaktivieren dieser Dienste oder das Beenden der Programme wird der Port geschlossen.

Wovor schützt mich eine Firewall nicht?
Der häufigste Fehler beim Einsatz einer solchen Software ist, daß sie vom Anwender aus Unverständnis nicht richtig konfiguriert wird. Somit läßt sich sagen, daß die Firewall vor allem nicht vor der eigenen Dummheit schützt. Mindestens Grundkenntnisse über das TCP/IP-Schichtenmodell sind erforderlich, um eine Firewall korrekt einzurichten.

Welche Protokolle werden von der Firewall überwacht?
Das ist von Produkt zu Produkt unterschiedlich. Meist sind es nur TCP, UDP und ICMP. Wenn die Firewall zusätzlich noch Werbefilter enthält, kann sie auch HTTP überwachen. Manche Firewalls sind auch in der Lage, all die Protokolle zu filtern, die auch das Betriebssystem kennt (IGMP, OSPF...).

Was ist der Unterschied zwischen abgehenden und ankommenden Verbindungen?
Bei einer abgehenden Verbindung stellt der Rechner des Anwenders eine Verbindung zu einem anderen PC her. Das ist das typische Verhalten eines Clients. Bei einer ankommenden Verbindung stellt ein fremder PC eine Verbindung zu dem PC des Anwenders her. Der PC des Anwenders wäre hier der Server. Sobald eine Verbindung hergestellt ist, können die Daten in beide Richtungen ausgetauscht werden. Als Beispiel sei hier eMail genannt. Beim Mailversand werden eMails an den Mailserver geschickt, beim Mailabruf werden sie vom Mailserver heruntergeladen. Beide Verbindungen sind jedoch abgehend, da der Rechner des Anwenders die Verbindung initiiert.

Blockiert die Firewall alle Netzwerkverbindungen?
Viele Firewalls sind herstellerseitig so eingerichtet, daß sie bestimmte Arten von Kommunikationen standardmäßfig blockieren. Beispiele hierfür sind die Datei- und Druckerfreigabe oder ein Auth-Dienst. Ob dies im speziellen Einzelfall Sinn macht, kann nur der Anwender entscheiden.

Wie stelle ich fest, welche Daten übertragen werden?
Mit einem sogenannten Netzwerkmonitor bzw Sniffer ist es möglich, Datenpakete direkt auf der Netzwerkhardware abzugreifen und zu analysieren. Ethereal für Windows ist ein derartiges Programm. Sinnvollerweise sollte es auf einem separaten PC eingesetzt werden, wenn über diesen die Internetanbindung hergestellt wird.

Wozu dient der Stealth-Modus?
Wenn eine Firewall Kommunikationen blockiert, macht sie das meist so, daß sie entsprechende ankommende Pakete einfach wegwirft ("droppt"). Dadurch wird der Absender im Unklaren gelassen, ob seine Anfrage das Ziel erreicht hat oder nicht. Die Folge davon ist, daß der Absender weiter versuchen wird, eine Verbindung herzustellen, da er annimmt, daß die Pakete irgendwo verloren gegangen sind. Somit erhöht der Stealth-Modus den Netzwerkverkehr. Ein weiterer unangenehmer Nebeneffekt ist, daß der Anwender nur glaubt, "unsichtbar" zu sein, es jedoch nicht ist. Denn wenn der PC tatsächlich nicht online wäre, würde der letzte Router dem Anfragenden mitteilen, daß das Ziel nicht existiert. Ein Angreifer, der einen Portscan durchführt, läßt sich davon nicht beeindrucken, er kann viele Scans gleichzeitig durchführen und wird nicht ausgebremst. Ein Stealth-Modus hat somit nur Nachteile.

Darf ich ICMP blockieren?
Das Internet Control Message Protocol ist ein Protokoll, welches vom Betriebssystem automatisch eingesetzt wird, hauptsächlich um Fehler während der Kommunikation zu korrigieren und Diagnosefunktionen zu starten. ICMP-Meldungen zu blockieren, macht somit wenig Sinn.

Ist ein bißchen Sicherheit besser als gar keine Sicherheit?
Wenn die Firewall von einem Schadprogramm ausgehebelt wird, bietet sie keinen Schutz mehr. Deshalb kann man nicht davon ausgehen, daß es "ein bißchen" Sicherheit gibt. Entweder der Rechner ist sicher, oder er ist es nicht.

Was bringt mir die Firewall schlußendlich?
Manche Firewalls bieten eine gute Protokollierfunktion ein- oder ausgehender Pakete, sie sind somit zum Lernen gut geeignet. Andere Firewalls bieten z.B. die Möglichkeit, Werbefenster und Popups zu unterdrücken.

Wie wird eine Firewall gehackt?
Meist ist es so, daß nicht die Firewall an sich gehackt wird, sondern es wird eine Lücke im Regelwerk (z.B. der Internetbrowser) ausgenutzt, um die Firewall zu untergraben, zu "tunneln".

Diese FAQ wurde erstellt von docprantl.