URZ-Startseite > Netzinfrastruktur >

Hinweise zu Personal Firewalls

Unter einer "Personal Firewall" (PFW, auch "Desktop-Firewall" DFW) ist eine auf dem Rechner des Endnutzers installierte Software zu verstehen, die Verbindungsversuche von außen (fremde Netze und LAN) und evtl. auch von innen (von Programmen/Prozessen, die auf dem Rechner selbst ablaufen) erkennt, freigibt oder sperrt, in eine Datei protokolliert ("loggt"), und gegebenenfalles auch nach Erlaubnis für diese Verbindungen fragt.

Spätestens seit Microsoft die Installation einer Desktop-Firewall zu den "Schritten um sicherzugehen, dass der Computer geschützt ist" zählt und seit im Servicepack 2 von Windows XP eine mitgelieferte Desktop-Firewall standardmäßig aktiviert ist, kommt kaum ein Nutzer oder Administrator um dieses Thema herum.

Im folgenden möchten wir einige Hinweise zum Thema PFW geben.

Konkrete Hinweise für die Windows-XP-SP2-Firewall

Im Allgemeinen funktioniert die Firewall wohl einigermaßen lautlos. Es gibt eine kleine Anleitung zur Öffnung der Windows-Firewall für den VPN-Client, die analog auch für andere Ports/Programme verwendet werden kann. Ein Script, das die VPN-Einstellungen für XP bzw. Vista vornimmt, kann bei uns auf der jeweiligen VPN-Clienten-Downloadseite gefunden werden.
Links mit Hersteller-Empfehlungen und -Anleitungen siehe unten.

Nachteile einer Personal Firewall

  • Man denkt sich "Jetzt bin ich sicher", und wird beim Surfen unvorsichtiger.
  • Man installiert damit ein weiteres kompliziertes Stück Software auf seinem Rechner, statt sich um die korrekte Verwendung der bereits vorhandenen zu bemühen.
  • Es kann sein, dass andere das Netzwerk nutzende Programme nicht mehr richtig funktionieren bzw. besondere Einstellungen an der PFW nötig sind.
  • Insbesondere, wenn man ein Betriebssystem einsetzt, für das man bezahlt hat und Updates und Unterstützung erwartet, sollte man sich selbst fragen, ob es stimmig ist, eine kostenlos aus dem Internet heruntergeladene Sicherheits-Software einzusetzen.
  • Im Logbuch einer PFW stehen nur "erfolglose" Angriffsversuche, ein erfolgreicher steht dort sicher nicht drin...
  • Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen, der Nutzen ist damit von kurzer Dauer. Es wird dann ein ähnliches Dauer-Update-Verhalten wie bei Antivirus-Programmen nötig sein.
  • Es besteht die Gefahr, jedes Datenpaket, das den Rechner erreicht, als "bösartig" anzusehen. Das war nicht der Grundgedanke des "Netzes zwischen den Netzen", dessen Zweck ja der Datenaustausch zwischen Computersystemen an weit verschiedenen Standorten ist. Man muss sich also viel Mühe machen, die Meldungen einer PFW kennen zu lernen.

Mögliche Vorteile einer Personal Firewall

Ein korrekte Konfiguration und kompetente Nutzung vorausgesetzt, kann eine Personal Firewall zum Beispiel folgende positiven Effekte haben:
  • Durch die Beschäftigung mit der Firewall und deren Meldungen lernt man etwas über den paketorientierten Datenverkehr im Internet, und wird eventuell auch im sonstigen Surf-Verhalten vorsichtiger.
    Meiner persönlichen Meinung nach ist das der wesentliche (manche meinen sogar: der Einzige!) Nutzen dieser Software.
  • Wenn man einen älteren Trojaner hat, der nicht das Vorhandensein einer PFW prüft, kann man Glück haben, und an der Nachfrage der PFW erkennen, dass da ein Programm, das man gar nicht kennt, Kontakt nach aussen haben will.
    ABER: In Zukunft werden die "bösen" Programme eher über "üblicherweise erlaubte" Kanäle nach aussen Kontakt aufnehmen bzw. Befehle von aussen erhalten, vor allem natürlich über die stets erlaubten http oder dns...
  • Zugriffe auf "versehentliche" Dateifreigaben können abgefangen werden, vorausgesetzt, man hat die Dateifreigabe nicht "beliebig gross" auch in der PFW erlaubt.
  • Zugriffe/Portscans von innerhalb des Hausnetzes können von einer Instituts-Firewall nicht erkannt werden. Hier kann die PFW helfen, andere ge-crack-te Rechner im Netz zu entdecken.

Hinweise zur Nutzung einer Personal Firewall

  • Informieren Sie sich, welche Netze direkt mit Ihrem Rechner verbunden sind.
  • Machen Sie sich die Bedeutung von IP-Adressen und Host-/Rechnernamen klar, insbesondere von den wichtigen Servern für DNS, DHCP oder Proxies oder des Default-Gateways, die Ihr Rechner zum Funktionieren braucht.
  • Hilfe zu einzelnen angemahnten/gemeldeten TCP/UDP-Ports finden Sie - wenn nicht mit der Hilfe-Funktion der PFW selbst - z.B. bei einer Suchmaschine.
    Die offizielle Liste bei der IANA enthält nicht die vielen von Spieleservern, Trojanern oder Peer-to-peer-Software verwendeten Ports.
  • Wenn Sie selbst anderen Netzwerk-Verantwortlichen im Internet Hinweise geben wollen, dass ein fremder Rechner den Ihren "gescannt" hat, dann geben Sie bitte die folgenden Informationen mit:
    • Eigene IP-Adresse (Zieladresse),
    • IP-Adresse, von der aus gescannt wurde (Quelladresse),
    • Protokollart und Zielport (tcp/udp) des Scan, am besten auch den Quellport,
    • Genaue Uhrzeit der Pakete, ganz wichtig ist die Zeitzone.
    • Am besten schicken Sie den relevanten Logbucheintrag gleich mit.
    • Monieren Sie möglichst nur Pakete, die Sie selbst als sicherheitsbedrohend erkennen. Prüfen Sie am besten vorher selbst, ob es sich z. B. nur um einfaches Ping (oder z.B. P2P) handelt.
    • Beachten Sie, wenn Sie Netzwerkverantwortliche anschreiben, dass es sich meist um die Administratoren großer Netze handelt, die nicht jeden Nutzer und jeden Rechner einzeln kennen.
  • Unter Sicherheitsaspekten und für mehrere Rechner ist eine separate Firewall u. E. sinnvoller.
  • Der Lerneffekt der bei älteren Windows mitgelieferten Paketfilterung ist nicht so hoch, dafür ist die Konfiguration nicht ganz einfach...
  • Wir empfehlen, Zeit am Endnutzerrechner vor allem einzusetzen für eine korrekte Konfiguration und Kontrolle von
    • Webbrowser und Email-Client,
    • Virenschutz und Datensicherung,
    • Betriebssystem, Dateifreigaben / Diensteliste.
    Ebenfalls wichtig ist die Nutzerschulung zu Sicherheitsaspekten.

Weitere Punkte und Links

 

Verantwortlich: Team Netzinfrastruktur
Letzte Änderung: 10.07.2008
zum Seitenanfang/up