Personal Firewalls sind was für Loser…

...diese Aussage muss ich mir jetzt schon seit Jaaahreeen von einigen Hackerkollegen anhören - und irgendwann nervt es einfach nurnoch, wenn man x-tausendsten Mal erklären muss, weshalb Personal Firewalls durchaus sinnvoll sind.

Häufig wird erzählt, dass solche Desktop Firewalls (Firewall-Programme, die auf dem PC des Endanwenders laufen und die Netzwerkzugriffe von Programmen überwachen) reines Snake Oil seien, überhaupt keinen Schutz vor irgendwelchen Angreifern bieten würden und man nur mit einer supertollen Hardware-Firewall wirklich sicher sei.
Dann werden die typischen Beispiele gebracht: Dass sämtliche Daten ja auch mit Hilfe von (sicherlich freigegebenen) Programmen wie dem Webbrowser zum Angreifer übertragen werden könnten, dass ein echter Angreifer die Firewall zur Not einfach abschalten könnte und, dass Zusatzfeatures wie irgendwelche "Stealth Modes" überhaupt keinen Sinn machen würden.

Ja, es mag sein, dass man die Daten einfach durch ein anderes Programm schleusen könnte. Ja, es mag sein, dass ein Angreifer die Firewall-Software einfach abschalten könnte. Ja, es mag sein, dass einige Zusatzfeatures eher Marketing als Schutz darstellen. Aber nein, deshalb sind Personal Firewalls noch lange nicht nutzlos. Und nein, Personal Firewalls können nicht durch Hardware-Firewalls ersetzt werden.

Schauen wir uns dazu erst einmal an, wie eine Hardware-Firewall in der Regel funktioniert: Im Regelfall ist es mit ihnen möglich, Kommunikationsrichtungen zu erlauben oder zu verbieten. Man kann also erlauben, dass alle Nutzer aus dem LAN über Port 80 auf Server im Intranet zugreifen können. Man kann zulassen, dass ein Rechner im LAN aus dem Internet heraus auf Port 21 erreichbar ist, man kann verbieten, dass Nutzer A den Rechner von Nutzer B erreicht und sämtliche solche Späße. Aber: Wir befinden uns ausschließlich auf Verbindungsebene - das heißt, es zählen IP-Adressen und Port-Nummern.

Bei Desktop Firewalls sieht das ganz anders aus. Okay, man kann auch definieren, welche IP-Adressen auf Port-Nummer X zugreifen dürfen - aber das ist nicht das wirklich spannende Feature. Das interessante Feature ist, dass man die Zugriffsregeln auf Anwendungsebene definieren kann. Man sagt also nicht "IP-Adresse A darf auf X zugreifen", sondern "Anwendung B darf auf X zugreifen". Für Hardware-Firewalls ist diese Form der Zugriffssteuer nicht realisierbar. Und aus diesem Grund stellen sie keinen Ersatz für eine Personal Firewall dar - so sehr deren Gegner auch anderes behaupten mögen.

Wenn man einem Kritiker diese Aussage präsentiert hat, kommt dann abschließend immer wieder die große Keule: "Na aber ich weiß doch vorher, welche Anwendung eine Verbindung aufbauen will. Ich setze doch ausschließlich vertrauenswürde Anwendungen ein.". Manchmal wird das ganze noch gepaart mit einem "Ich arbeite eh unter Linux. Da habe ich zur Not sämtliche Quellen und kann die Anwendungen nach meinen Wünschen anpassen.". Jackpot! Wir haben keine Lösung für das Problem, also argumentieren wir halt, dass es garkein Problem gäbe. Das gibt 100 Rhetorikpunkte extra.

Natürlich kann man ausschließlich Anwendungen nutzen, denen man vertraut. Natürlich kann man sämtliche Netzwerkzugriffe aus einer Anwendung herauspatchen. Natürlich kann man sich selber sein ganz eigenes Betriebssystem schreiben und sämtliche Software, die man benötigt, noch dazu.
Es gibt allerdings mehr als genügend Menschen, die das eben nicht können, die nicht die Zeit dafür haben, aber trotzdem Kontrolle darüber haben wollen, welche Anwendung wohin telefonieren darf. Dabei geht es garnicht um das Abwehren von internen Angreifern. Sondern dabei geht es darum, Anwendungen, denen man grundsätzlich vertraut, trotzdem den Zugriff auf das Internet zu verbieten.

So, das musste jetzt einfach mal raus...
Feurige Grüße, Kenny