Personal Firewalls sind was für Loser…

...diese Aussage muss ich mir jetzt schon seit Jaaahreeen von einigen Hackerkollegen anhören - und irgendwann nervt es einfach nurnoch, wenn man x-tausendsten Mal erklären muss, weshalb Personal Firewalls durchaus sinnvoll sind.

Häufig wird erzählt, dass solche Desktop Firewalls (Firewall-Programme, die auf dem PC des Endanwenders laufen und die Netzwerkzugriffe von Programmen überwachen) reines Snake Oil seien, überhaupt keinen Schutz vor irgendwelchen Angreifern bieten würden und man nur mit einer supertollen Hardware-Firewall wirklich sicher sei.
Dann werden die typischen Beispiele gebracht: Dass sämtliche Daten ja auch mit Hilfe von (sicherlich freigegebenen) Programmen wie dem Webbrowser zum Angreifer übertragen werden könnten, dass ein echter Angreifer die Firewall zur Not einfach abschalten könnte und, dass Zusatzfeatures wie irgendwelche "Stealth Modes" überhaupt keinen Sinn machen würden.

Ja, es mag sein, dass man die Daten einfach durch ein anderes Programm schleusen könnte. Ja, es mag sein, dass ein Angreifer die Firewall-Software einfach abschalten könnte. Ja, es mag sein, dass einige Zusatzfeatures eher Marketing als Schutz darstellen. Aber nein, deshalb sind Personal Firewalls noch lange nicht nutzlos. Und nein, Personal Firewalls können nicht durch Hardware-Firewalls ersetzt werden.

Schauen wir uns dazu erst einmal an, wie eine Hardware-Firewall in der Regel funktioniert: Im Regelfall ist es mit ihnen möglich, Kommunikationsrichtungen zu erlauben oder zu verbieten. Man kann also erlauben, dass alle Nutzer aus dem LAN über Port 80 auf Server im Intranet zugreifen können. Man kann zulassen, dass ein Rechner im LAN aus dem Internet heraus auf Port 21 erreichbar ist, man kann verbieten, dass Nutzer A den Rechner von Nutzer B erreicht und sämtliche solche Späße. Aber: Wir befinden uns ausschließlich auf Verbindungsebene - das heißt, es zählen IP-Adressen und Port-Nummern.

Bei Desktop Firewalls sieht das ganz anders aus. Okay, man kann auch definieren, welche IP-Adressen auf Port-Nummer X zugreifen dürfen - aber das ist nicht das wirklich spannende Feature. Das interessante Feature ist, dass man die Zugriffsregeln auf Anwendungsebene definieren kann. Man sagt also nicht "IP-Adresse A darf auf X zugreifen", sondern "Anwendung B darf auf X zugreifen". Für Hardware-Firewalls ist diese Form der Zugriffssteuer nicht realisierbar. Und aus diesem Grund stellen sie keinen Ersatz für eine Personal Firewall dar - so sehr deren Gegner auch anderes behaupten mögen.

Wenn man einem Kritiker diese Aussage präsentiert hat, kommt dann abschließend immer wieder die große Keule: "Na aber ich weiß doch vorher, welche Anwendung eine Verbindung aufbauen will. Ich setze doch ausschließlich vertrauenswürde Anwendungen ein.". Manchmal wird das ganze noch gepaart mit einem "Ich arbeite eh unter Linux. Da habe ich zur Not sämtliche Quellen und kann die Anwendungen nach meinen Wünschen anpassen.". Jackpot! Wir haben keine Lösung für das Problem, also argumentieren wir halt, dass es garkein Problem gäbe. Das gibt 100 Rhetorikpunkte extra.

Natürlich kann man ausschließlich Anwendungen nutzen, denen man vertraut. Natürlich kann man sämtliche Netzwerkzugriffe aus einer Anwendung herauspatchen. Natürlich kann man sich selber sein ganz eigenes Betriebssystem schreiben und sämtliche Software, die man benötigt, noch dazu.
Es gibt allerdings mehr als genügend Menschen, die das eben nicht können, die nicht die Zeit dafür haben, aber trotzdem Kontrolle darüber haben wollen, welche Anwendung wohin telefonieren darf. Dabei geht es garnicht um das Abwehren von internen Angreifern. Sondern dabei geht es darum, Anwendungen, denen man grundsätzlich vertraut, trotzdem den Zugriff auf das Internet zu verbieten.

So, das musste jetzt einfach mal raus...
Feurige Grüße, Kenny

8 Kommentare » Schreibe einen Kommentar

  1. a

    lokale programme mit systemprivilegien können personal firewalls aussschalten

    b

    programme können durch die nicht gerade selten auftretenden sicherheitslücken der personal firewalls systemprivilegien ergattern oder sie zum beenden zwingen

    c

    betriebssystemseitige firewalls sind in der regel die beste lösung, da nicht proprietär und resourcenschonender, ob die firewall komfortabel genug ist, ist ansichtssache

  2. Hast du denn mal ne Empfehlung für ne gute Softwarefirewall für Windows 7? Ich bin auf der Suche nach einer, die fuckin every time fragt, wenn irgendwer rein oder raus will, solange ich eine Anwendung nicht explizit zulasse.. Die gute alte Sygate hat das gemacht, aber die läuft ja leider nicht auf Vista oder 7..

    • Bei mir Zuhause sind derzeit nur Android, Ubuntu, Mac OS X und Windows XP im Einsatz - um eine Personal Firewall für Windows 7 habe ich mich also noch nicht gekümmert. Ich bezweifle auch, dass ich in nächster Zeit zu Windows 7 migrieren werden.

      Was ich allerdings gehört habe, ist, dass die Comodo Firewall halbwegs gut sein soll. Ob ich jedoch das Produkt einer Firma, die kurz hintereinander mehrfach gehackt wurde, einsetzen würde, steht auf einem anderen Blatt.

        • Ich selber verwende die Sygate-Firewall. Für viele ist sie "zu technisch", aber genau das gefällt mir an ihr. Leider wird sie nicht mehr weiterentwickelt: Symantec hat Sygate vor ein paar Jahren aufgekauft und das Produkt eingestampft. Die kostenlose Version ist allerdings immernoch erhältlich. 🙂

      • Die Comodo-Firewall kannst du als Angreifer im LAN mit ein paar ARP-Paketen problemlos dazu überreden, sich komplett abzuschotten. Was will man mit einer Firewall, die DOS-Attacken derart einfach macht?

        In der c't 23/2010 gabs auf den Seiten 126-131 nen Test von Personal Firewalls für Windows.
        Die Schlussfolgerung war mehr oder weniger, dass die allesamt (auch die Comodo) grottenschlecht sind, und die Windows-Firewall wohl nach wie vor die beste Firewall ist.

  3. Da haste das Thema aber ein wenig voreilig und einseitig abgerissen, wie ich finde. Erstmal solltest Du erklären, wie Hardware in einer Hardwarefirewall IP Traffic filtern können sollte. Das wird ja wohl auch Software sein. Die kann gut sein, die kann schlecht sein, egal ob sie auf dem Heim PC auf der HDD sitzt oder in nem Plastikkasten mit Mips oder ARM CPU.
    Natürlich kann auch eine dem PC vorgelagerte Firewall (ich vermeide den unscharfen Begriff "Hardware Firewall" ganz bewusst) natürlich auch auf Protokollebene arbeiten, sei es mit Deep Inspection oder mit stochastischen Mitteln.
    Da ist natürlich nicht mit nem Gerät machbar, wo AVM, Dlink oder Netgear in großen Lettern draufsteht, aber das würde ich auch nicht als Firewall bezeichnen.
    Und so kann eine dedizierte Firewall wie auch ein PC selbst - mit geeigneten Software auch noch ein Vielfaches mehr.

    • Es ging mir in dem Artikel einzig und allein darum, aufzuzeigen, dass sich Personal Firewalls nicht vollständig durch dedizierte Firewalls (bei denen es sich idR. um reine Paketfilter handelt) ersetzen lassen. Auch mit Deep Packet Inspection ist es eben nicht möglich, den Traffic auf Anwendungsebene zu kontrollieren. Ob man das nun als Hardware-Firewall, dedizierte Firewall oder "vorgelagerte Firewall" nennt, ist dabei unerheblich.

      Der Artikel nochmal zusammengefasst:
      * dedizierte (Hardware-) Firewalls sind besser vor Angreifern abgeschottet
      * nur Personal Firewalls können auf Anwendungsebene filtern

      Fazit: Hardware-Firewalls sind nicht in allen Belangen besser als Desktop-Firewalls.

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.