Personal Firewall für Anfänger
Was ist eine Firewall?
Eine Firewall kontrolliert den Datenstrom
zwischen einem Computer und dem Internet. Das kann entweder eine Hardwarelösung
sein. Ein separater Computer zwischen PC und Internet, z.B. in Firmennetzwerken.
Oder - vor allem im Heimbereich - eine Softwarelösung.
Denn wer hat schon zu Hause einen Computer übrig nur für diesen Zweck. Hier soll
es nur um den Heimbereich gehen, also um die sogenannte "Personal Firewall".
Was tut eine Firewall?
Sie kontrolliert den Datenstrom vom und zum
Internet. Jedes Datenpaket hat charakteristische Merkmale: Die Absenderadresse,
die Zieladresse, die verwendete Portnr., der Typ des Datenpakets.
Für bestimmte Adressen und/oder Ports kann man Regeln definieren. Damit wird ein
Datenpaket entweder durchgelassen oder nicht. Deshalb nennt man Firewalls auch
Paketfilter.
Die Firewall schützt mich also, indem sie mir aufzeigt, was auf meiner
Internetverbindung hin und her geschickt wird. Ich kann dann entscheiden, ob ich
es zulasse oder nicht.
Es geht um den Schutz vor Angriffen von außen, vom Internet. Trojaner, Viren,
Würmer oder sonstige Hackerangriffe sollen aufgedeckt und vereitelt werden. Über
dieses Thema ist in den Firewall-Newsgroups heiß diskutiert worden. Die
"Personal Firewalls" sind dort als nutzlos verschrien, da sie sich angeblich
durch einen Hackerangriff ganz leicht ausschalten lassen.
Es geht aber auch um den Schutz gegen Angriffe von innen. Wie das, werden Sie
fragen. Es ist immer mehr in Mode gekommen, dass Software "nach Hause
telefoniert". Ihre persönlichen Daten ausspioniert und heimlich über eine bestehende
Internetverbindung an den Softwarehersteller sendet. Oder es werden Werbeblöcke
aus dem Internet geholt, um sie am Bildschirm anzuzeigen. Auf
http://www.cyberspalace.de/htm/aured.htm gibt es eine Liste der von Spyware
verseuchten Programme.
Wenn Sie Ihre Privatsphäre schützen wollen, dann kommen Sie um den Einsatz einer
Firewall nicht herum.
Natürlich gibt es auch noch andere Programme gegen Spyware und Werbung aus dem
Internet, z.B. XP Antispy oder AdBlocker. Diese schützt jedoch nur vor
bestimmten "Gegnern".
Wie wird sie programmiert?
Wir wollen die Programmierung am Beispiel von
"Tiny Personal Firewall" (im Folgenden TPF genannt) erklären. Dieses Produkt ist
komplett in Englisch und für den privaten Gebrauch kostenlos. Wer lieber ein
deutsches Produkt möchte, sollte "Zone Alarm" testen. Es gibt aber auch noch
andere.
Tiny ist nicht gerade leicht zu bedienen. Wer mit Begriffen wie "Port" und
"IP-Adresse" vertraut ist, wird kaum ein Problem damit haben. Einsteiger läßt
Tiny aber ziemlich allein, da es keine Hilfefunktion hat.
Eine andere Firewall, die auch Freeware und für Anfänger besser geeignet sein
soll, ist ZoneAlarm. Die Firewall können Sie
hier herunterladen. Leider hat
ZoneAlarm einen entscheidenden Nachteil: Die Firewall ist nicht so stark
konfigurierbar wie Tiny. Entweder ist eine Anwendung für das Internet
freigegeben oder blockiert, die Freigabe einzelner Ports oder bestimmter
Verbindungsarten ist nicht möglich. Unter Windows ME soll der Einsatz von
ZoneAlarm außerdem nicht zu empfehlen sein, da das System teilweise von dem
Programm "zerschossen" wurde. (Das behauptet zumindest BlueMerlin in ihrem
Vergleichstest
von Firewallsystemen für Home-Computer.
Wer sich dennoch für ZoneAlarm entscheidet findet eine deutschsprachige
Anleitung unter http://www.zonealarm.de.
Für jede Personal Firewall, egal ob ZoneAlarm oder Tiny, gilt, daß sie nicht
einfach installiert und dann wieder vergessen werden kann. Sie müssen Ihre
Firewall verstehen und damit umzugehen lernen. Egal welche Firewall Sie
letztendlich benutzen, eine schlecht konfigurierte Firewall kann im schlimmsten
Fall mehr Schaden anrichten, als ein ungeschütztes System, z. B. wenn Sie nach
der Installation einer Firewall nicht mehr aufs Internet zugreifen können. Lesen
Sie deshalb unbedingt die Anleitung für Ihre Firewall durch.
Firewalls bieten
keinen absoluten Schutz für Ihren Computer. Sie können schlecht oder falsch
konfiguriert sein, zu spät starten (z.B. hinter Trojanern), sie können nicht
jede Kommunikation bemerken, fehlerhaft sein, abstürzen und so weiter. Besser
ist es mehrere Barrieren gegen Angreifer zu haben, wie Anti-Viren-Programme,
Verschlüsselungsprogramme, gute Paßwörter und ein gut konfiguriertes
Betriebssystem.
Die Programmierung erfolgt ganz einfach durch die Festlegung von Regeln.
Unmittelbar nach der Installation blockiert die Firewall einfach alles. Sie ist
so eingestellt, dass sie uns fragt, was wir erlauben oder verbieten.
Wir stellen eine Internetverbindung her und starten den Browser. Schon beim
Aufruf der Startseite wird TPF meckern. Wir können mit einem Klick auf "Permit"
den Zugriff erlauben. Das ist eine einmalige Erlaubnis. Es dauert aber nicht
lange und die nächste Anfrage erscheint. Wir müssen also eine Regel definieren,
die es dem Browser erlaubt, alle IP-Adressen über Port 80 (das ist der Port für
http-Seiten) anzusprechen. Sollte ein anderes Programm als der Browser dies
versuchen, dann werden wir erneut gefragt.
Nächste Anfrage wird sein, wenn wir versuchen unsere Mail abzurufen bzw. zu
senden. Dem Mailprogramm muss erlaubt werden, den POP3- sowie den SMTP-Server
unseres Providers zu kontaktieren. Da dies regelmäßig vorkommt muss hierfür
ebenfalls eine Regel definiert werden.
In der gleichen Art müssen für alle Anwendungen Regeln definiert werden, die auf
das Internet zugreifen dürfen. Man sollte aber mit dem Anlegen neuer Regeln
recht vorsichtig sein. Nur wenn man genau weiß was gerade passiert, dann sollte
man die Regel definieren.
Eine Regel sollte immer so restriktiv wie möglich sein. Beispiel: Dem
Mailprogramm ist es nur erlaubt, die IP-Adressen des POP3- und des SMTP-Servers
anzusprechen. Andere Adressen und andere Ports sind nicht erlaubt.
Durch die Definition von Regeln "lernt" TPF was wir wollen und was wir nicht
erlauben. So entsteht mit der Zeit ein kleines Regelwerk. Die bereits bekannten
Feinde werden geblockt. Bei Bedarf kann man sich mit kleinen Meldungen oder
durch Einträge in der Logdatei darüber informieren lassen. Sie werden erstaunt
sein, wer alles heimlich und unerlaubterweise Ihre Internet-Verbindung nutzen
will. Einige grundsätzliche Portfilterregeln kann man hier nachlesen:
http://www.computerbetrug.de/index.php?main=/firewall/regeln.php
Wie erkenne ich einen Angriff von außen?
TPF meldet einen "Incoming Alert". Sie brauchen aber nicht gleich zu erschrecken. Noch ist nichts passiert. TPF fragt sie ja gerade erst, wie mit dem Datenpaket zu verfahren ist. Es muss auch nicht unbedingt ein richtiger Angriff sein. Häufig wird lediglich ein PING-Kommando benutzt. Das ist etwa vergleichbar mit dem Klingeln an der Haustür. Jemand möchte wissen, ob Sie zu Hause sind. Klingeln ist nicht verboten. Wenn Sie den Absender nicht kennen, dann klicken Sie einfach auf "Deny". Das Datenpaket von außen wird nicht durchgelassen. Kommt das mit der gleichen Absenderadresse häufiger vor, dann definieren Sie einfach eine Regel für diesen Fall. Das erspart Ihnen in Zukunft die lästige Klickerei auf "Deny".
Wie erkenne ich einen Angriff von innen?
TPF meldet einen "Outgoing Alert". Irgendein
Programm auf Ihrem Rechner möchte Daten ins Internet senden. Das muß kein
Angriff sein. Z.B. sendet Ihr Mailprogramm die ausgehende Post zum SMTP-Server.
Nehmen wir mal an, Sie haben die Software "Babylon Translator" installiert.
Sofort danach meldet TPF einen "Outgoing Alert". Ein Programm möchte Verbindung
aufnehmen zu einer IP-Adresse im Internet. Das ist doch verdächtig, oder? Da wir
TPF bereits installiert haben, wird uns BABYLON.EXE als Schuldiger genannt. Also
klicken wir auf "Deny", um den Zugriff zu unterbinden. Babylon ist jedoch so
penetrant, dass wir bald schon eine Regel definieren müssen.
Nebenbei bemerkt installiert dieser nette kleine Übersetzer (unbemerkt) noch ein
anderes Programm: eine cd_load.exe. Diese ist nicht etwa für das CD-Laufwerk
verantwortlich, sondern für das Laden von Werbung aus dem Internet. Also weg
damit aus dem Autostart!
Solches verhalten kommt immer mehr in Mode. Fast
jede Software versucht nach Hause zu telefonieren. Wer weiß schon was
da für Daten übermittelt werden? Etwa meine persönlichen Sachen?
Passwörter? Bankverbindungen?
Das Phone-Home-Verhalten kann man mit
einer Personal Firewall heraufinden. Davor schützen wird sie nicht unbedingt.
Wenn
die Software sich als Browser ausgibt ist sie getarnt.
Gerade in der heutigen
Zeit geht der Trend weg von den klassischen Viren hin zu Trojanern. Was unterscheidet
einen Trojaner von einer Software die nach Hause telefoniert? Nichts!
Welchen Nutzen hat eine "Personal Firewall"?
Gelinde gesagt: keinen!
Eine Personal Firewall
kann sehr leicht ausgetrickst werden. Als Viren-/Adware-/Spyware-Programmierer
tarne ich meine Applikation einfach mit dem Namen "Internet Explorer"
o.ä.
Der Anwender denkt dann "Natürlich darf der Internet
Explorer auf's Internet zugreifen" und erlaubt den Zugriff.
Schon ist
der ganze Schutz hinfällig. Als Anwender merke ich nicht einmal was davon.
Nähere
Erläuterungen dazu finden Sie hier: http://home.arcor.de/nhb/pf-austricksen.html
Einen besseren Schutz erreicht man durch eine Hardware-Firewall wie sie z.B. in einem Router eingebaut ist.
Generell ist es Quatsch
eine Firewall auf dem System laufen zu lassen welches geschützt werden
soll-
Hintergrund: Wer garantiert mir dass die Firewall noch sauber ist wenn
dasselbe System von einem Trojaner befallen wurde. Viele Trojaner schalten als
erste Aktivität den Virenscanner und die Firewall ab.
(Fred Hemme)
<™”„NE º|Ux:qR蓉¶!h³w,šïfÁGh·"2æŒ^¬ˆ>sš¶jMYJt<“èvZ¶FˆÁR‹¶E4‹‚wÆ$bšIƒ)V¥¸‡.ÁÉ €ãPTf0