Personal Firewall für Anfänger

Was ist eine Firewall?

Eine Firewall kontrolliert den Datenstrom zwischen einem Computer und dem Internet. Das kann entweder eine Hardwarelösung sein. Ein separater Computer zwischen PC und Internet, z.B. in Firmennetzwerken. Oder - vor allem im Heimbereich - eine Softwarelösung.
Denn wer hat schon zu Hause einen Computer übrig nur für diesen Zweck. Hier soll es nur um den Heimbereich gehen, also um die sogenannte "Personal Firewall".

 

Was tut eine Firewall?

Sie kontrolliert den Datenstrom vom und zum Internet. Jedes Datenpaket hat charakteristische Merkmale: Die Absenderadresse, die Zieladresse, die verwendete Portnr., der Typ des Datenpakets.
Für bestimmte Adressen und/oder Ports kann man Regeln definieren. Damit wird ein Datenpaket entweder durchgelassen oder nicht. Deshalb nennt man Firewalls auch Paketfilter.
Die Firewall schützt mich also, indem sie mir aufzeigt, was auf meiner Internetverbindung hin und her geschickt wird. Ich kann dann entscheiden, ob ich es zulasse oder nicht.
Es geht um den Schutz vor Angriffen von außen, vom Internet. Trojaner, Viren, Würmer oder sonstige Hackerangriffe sollen aufgedeckt und vereitelt werden. Über dieses Thema ist in den Firewall-Newsgroups heiß diskutiert worden. Die "Personal Firewalls" sind dort als nutzlos verschrien, da sie sich angeblich durch einen Hackerangriff ganz leicht ausschalten lassen.
Es geht aber auch um den Schutz gegen Angriffe von innen. Wie das, werden Sie fragen. Es ist immer mehr in Mode gekommen, dass Software "nach Hause telefoniert". Ihre persönlichen Daten ausspioniert und heimlich über eine bestehende Internetverbindung an den Softwarehersteller sendet. Oder es werden Werbeblöcke aus dem Internet geholt, um sie am Bildschirm anzuzeigen. Auf http://www.cyberspalace.de/htm/aured.htm gibt es eine Liste der von Spyware verseuchten Programme.
Wenn Sie Ihre Privatsphäre schützen wollen, dann kommen Sie um den Einsatz einer Firewall nicht herum.
Natürlich gibt es auch noch andere Programme gegen Spyware und Werbung aus dem Internet, z.B. XP Antispy oder AdBlocker. Diese schützt jedoch nur vor bestimmten "Gegnern".

 

Wie wird sie programmiert?

Wir wollen die Programmierung am Beispiel von "Tiny Personal Firewall" (im Folgenden TPF genannt) erklären. Dieses Produkt ist komplett in Englisch und für den privaten Gebrauch kostenlos. Wer lieber ein deutsches Produkt möchte, sollte "Zone Alarm" testen. Es gibt aber auch noch andere.
Tiny ist nicht gerade leicht zu bedienen. Wer mit Begriffen wie "Port" und "IP-Adresse" vertraut ist, wird kaum ein Problem damit haben. Einsteiger läßt Tiny aber ziemlich allein, da es keine Hilfefunktion hat.
Eine andere Firewall, die auch Freeware und für Anfänger besser geeignet sein soll, ist ZoneAlarm. Die Firewall können Sie hier herunterladen. Leider hat ZoneAlarm einen entscheidenden Nachteil: Die Firewall ist nicht so stark konfigurierbar wie Tiny. Entweder ist eine Anwendung für das Internet freigegeben oder blockiert, die Freigabe einzelner Ports oder bestimmter Verbindungsarten ist nicht möglich. Unter Windows ME soll der Einsatz von ZoneAlarm außerdem nicht zu empfehlen sein, da das System teilweise von dem Programm "zerschossen" wurde. (Das behauptet zumindest BlueMerlin in ihrem Vergleichstest von Firewallsystemen für Home-Computer. Wer sich dennoch für ZoneAlarm entscheidet findet eine deutschsprachige Anleitung unter http://www.zonealarm.de.
Für jede Personal Firewall, egal ob ZoneAlarm oder Tiny, gilt, daß sie nicht einfach installiert und dann wieder vergessen werden kann. Sie müssen Ihre Firewall verstehen und damit umzugehen lernen. Egal welche Firewall Sie letztendlich benutzen, eine schlecht konfigurierte Firewall kann im schlimmsten Fall mehr Schaden anrichten, als ein ungeschütztes System, z. B. wenn Sie nach der Installation einer Firewall nicht mehr aufs Internet zugreifen können. Lesen Sie deshalb unbedingt die Anleitung für Ihre Firewall durch.
Firewalls bieten keinen absoluten Schutz für Ihren Computer. Sie können schlecht oder falsch konfiguriert sein, zu spät starten (z.B. hinter Trojanern), sie können nicht jede Kommunikation bemerken, fehlerhaft sein, abstürzen und so weiter. Besser ist es mehrere Barrieren gegen Angreifer zu haben, wie Anti-Viren-Programme, Verschlüsselungsprogramme, gute Paßwörter und ein gut konfiguriertes Betriebssystem.
Die Programmierung erfolgt ganz einfach durch die Festlegung von Regeln. Unmittelbar nach der Installation blockiert die Firewall einfach alles. Sie ist so eingestellt, dass sie uns fragt, was wir erlauben oder verbieten.
Wir stellen eine Internetverbindung her und starten den Browser. Schon beim Aufruf der Startseite wird TPF meckern. Wir können mit einem Klick auf "Permit" den Zugriff erlauben. Das ist eine einmalige Erlaubnis. Es dauert aber nicht lange und die nächste Anfrage erscheint. Wir müssen also eine Regel definieren, die es dem Browser erlaubt, alle IP-Adressen über Port 80 (das ist der Port für http-Seiten) anzusprechen. Sollte ein anderes Programm als der Browser dies versuchen, dann werden wir erneut gefragt.
Nächste Anfrage wird sein, wenn wir versuchen unsere Mail abzurufen bzw. zu senden. Dem Mailprogramm muss erlaubt werden, den POP3- sowie den SMTP-Server unseres Providers zu kontaktieren. Da dies regelmäßig vorkommt muss hierfür ebenfalls eine Regel definiert werden.
In der gleichen Art müssen für alle Anwendungen Regeln definiert werden, die auf das Internet zugreifen dürfen. Man sollte aber mit dem Anlegen neuer Regeln recht vorsichtig sein. Nur wenn man genau weiß was gerade passiert, dann sollte man die Regel definieren.
Eine Regel sollte immer so restriktiv wie möglich sein. Beispiel: Dem Mailprogramm ist es nur erlaubt, die IP-Adressen des POP3- und des SMTP-Servers anzusprechen. Andere Adressen und andere Ports sind nicht erlaubt.
Durch die Definition von Regeln "lernt" TPF was wir wollen und was wir nicht erlauben. So entsteht mit der Zeit ein kleines Regelwerk. Die bereits bekannten Feinde werden geblockt. Bei Bedarf kann man sich mit kleinen Meldungen oder durch Einträge in der Logdatei darüber informieren lassen. Sie werden erstaunt sein, wer alles heimlich und unerlaubterweise Ihre Internet-Verbindung nutzen will. Einige grundsätzliche Portfilterregeln kann man hier nachlesen:
http://www.computerbetrug.de/index.php?main=/firewall/regeln.php

 

Wie erkenne ich einen Angriff von außen?

TPF meldet einen "Incoming Alert". Sie brauchen aber nicht gleich zu erschrecken. Noch ist nichts passiert. TPF fragt sie ja gerade erst, wie mit dem Datenpaket zu verfahren ist. Es muss auch nicht unbedingt ein richtiger Angriff sein. Häufig wird lediglich ein PING-Kommando benutzt. Das ist etwa vergleichbar mit dem Klingeln an der Haustür. Jemand möchte wissen, ob Sie zu Hause sind. Klingeln ist nicht verboten. Wenn Sie den Absender nicht kennen, dann klicken Sie einfach auf "Deny". Das Datenpaket von außen wird nicht durchgelassen. Kommt das mit der gleichen Absenderadresse häufiger vor, dann definieren Sie einfach eine Regel für diesen Fall. Das erspart Ihnen in Zukunft die lästige Klickerei auf "Deny".

 

Wie erkenne ich einen Angriff von innen?

TPF meldet einen "Outgoing Alert". Irgendein Programm auf Ihrem Rechner möchte Daten ins Internet senden. Das muß kein Angriff sein. Z.B. sendet Ihr Mailprogramm die ausgehende Post zum SMTP-Server.
Nehmen wir mal an, Sie haben die Software "Babylon Translator" installiert. Sofort danach meldet TPF einen "Outgoing Alert". Ein Programm möchte Verbindung aufnehmen zu einer IP-Adresse im Internet. Das ist doch verdächtig, oder? Da wir TPF bereits installiert haben, wird uns BABYLON.EXE als Schuldiger genannt. Also klicken wir auf "Deny", um den Zugriff zu unterbinden. Babylon ist jedoch so penetrant, dass wir bald schon eine Regel definieren müssen.
Nebenbei bemerkt installiert dieser nette kleine Übersetzer (unbemerkt) noch ein anderes Programm: eine cd_load.exe. Diese ist nicht etwa für das CD-Laufwerk verantwortlich, sondern für das Laden von Werbung aus dem Internet. Also weg damit aus dem Autostart!
Solches verhalten kommt immer mehr in Mode. Fast jede Software versucht nach Hause zu telefonieren. Wer weiß schon was da für Daten übermittelt werden? Etwa meine persönlichen Sachen? Passwörter? Bankverbindungen?
Das Phone-Home-Verhalten kann man mit einer Personal Firewall heraufinden. Davor schützen wird sie nicht unbedingt.
Wenn die Software sich als Browser ausgibt ist sie getarnt.
Gerade in der heutigen Zeit geht der Trend weg von den klassischen Viren hin zu Trojanern. Was unterscheidet einen Trojaner von einer Software die nach Hause telefoniert? Nichts!
 

Welchen Nutzen hat eine "Personal Firewall"?

Gelinde gesagt: keinen!
Eine Personal Firewall kann sehr leicht ausgetrickst werden. Als Viren-/Adware-/Spyware-Programmierer tarne ich meine Applikation einfach mit dem Namen "Internet Explorer" o.ä.
Der Anwender denkt dann "Natürlich darf der Internet Explorer auf's Internet zugreifen" und erlaubt den Zugriff.
Schon ist der ganze Schutz hinfällig. Als Anwender merke ich nicht einmal was davon.
Nähere Erläuterungen dazu finden Sie hier:
http://home.arcor.de/nhb/pf-austricksen.html

Einen besseren Schutz erreicht man durch eine Hardware-Firewall wie sie z.B. in einem Router eingebaut ist.

Generell ist es Quatsch eine Firewall auf dem System laufen zu lassen welches geschützt werden soll-
Hintergrund: Wer garantiert mir dass die Firewall noch sauber ist wenn dasselbe System von einem Trojaner befallen wurde. Viele Trojaner schalten als erste Aktivität den Virenscanner und die Firewall ab.

(Fred Hemme)

<NE |Ux:qR蓉!hw,fGh"2^>sjMYJt