Eine klassische Firewall schützt vor unerwünschten Verbindungen, die Angreifer von außen eröffnen. Mobile Mitarbeiter oder Heimarbeitsplätze bedingen bereits sorgsam zu sichernde Sondereingänge durch die Firewall ins Firmennetz. Darüber hinaus tauchen auch innerhalb von Unternehmen immer wieder (meist unerwünschte oder sogar verbotene) Einwahlzugänge auf, die am zentralen Firewall-System vorbei laufen. Ob Mitarbeiter solche Zugänge absichtlich eröffnen, um Beschränkungen auszuhebeln, oder einfach nur sorglos handeln: Die Kopplung an das Internet ist keine Einbahnstraße und die ungesicherten Seiteneingänge bieten Außenstehenden Zugang zu internen Ressourcen.
Angreifer können aber auch über reguläre Wege den "Fuß in die Tür stellen", indem sie - mehr oder weniger gezielt - so genannte Malware (Hostile Code, Schadprogramme) verbreiten: Viren, Würmer und Trojanische Pferde landen per E-Mail oder Datei-Download auf den Rechnern hinter dem Firewall-System. Dabei beschreiten die riskanten Daten keine verbotenen Pfade, sondern nutzen erwünschte Kommunikationswege - erst ein Blick auf den Inhalt der Kommunikation könnte die unlauteren Ziele entlarven. Bei eigens geschriebenen Angriffsprogrammen oder brandneuen Schädlingen müssen Virenscanner, die einen Content-Check in der Firewall vollziehen, jedoch zwangsläufig scheitern. Zudem können komprimierte Files (z.B. ZIP-Archive) erst nach dem Entpacken geprüft werden, was einen hohen Rechenaufwand bedeutet - verschlüsselte Daten lassen sich überhaupt nicht kontrollieren.
Selbst das Surfen im WWW - mittlerweile häufig essentielle Informationsquelle - kann durch aktive Inhalte Malware einschleppen. Insbesondere ActiveX Controls haben unbegrenzte Möglichkeiten, sie können z.B. einen PC herunterfahren, Dateien löschen oder beliebige andere Funktionen im Intranet ausführen, die rechtmäßiger Software auf dem Anwender-PC offen stehen.
Auch die an sich harmlosen Cookies sorgen nicht nur für persönliche Datenschutzprobleme: Besuchte Websites können die kleinen Datenpäckchen auf der Festplatte des PCs speichern und damit Benutzer beim nächsten Besuch wieder erkennen und so persönlich begrüßen oder ihre Präferenzen speichern. Im Zusammenspiel mehrerer Sites ermöglichen Cookies aber auch eine Überwachung der Surfgewohnheiten und persönlichen Vorlieben. Letztlich könnte ein Site-Betreiber oder ein Hacker, der sich Zugang zu den Daten einer populären Site verschafft, sogar versuchen über die Datenkrümel Rückschlüsse auf die Gewohnheiten von Mitarbeitern zu ziehen - ähnlich einem Einbrecher, der ein Haus und seine Bewohner zunächst aufmerksam studiert, statt aufs Geratewohl in ein Fenster einzusteigen. Auch Cache-Dateien können zur Überwachung des Benutzerverhaltens missbraucht werden.
Da viele Internet-Dienste Cookies und aktive Inhalte jedoch sinnvoll nutzen und etliche erwünschte Dienste (leider) ohne sie nicht funktionieren, kann die Entscheidung über ihre Zulässigkeit sinnvollerweise nur auf dem Anwender-PC getroffen werden - unter Beachtung des jeweiligen Gefährdungspotenzials (evtl. Einsatz spezieller "Surf Stations") und notfalls vom Anwender selbst. Eine generelle Sperre in der zentralen Firewall würde zu drastischen Funktionseinbußen führen und Angestellte evtl. zur Umgehung motivieren. Eine zentrale Positivliste würde hingegen einen kaum zu bewältigenden Administrationsaufwand verursachen und deutliche Verzögerungen bei der "Freischaltung" bewirken: Der Systemverwalter müsste letztlich jede Anforderung für eine Website zunächst prüfen, da Anwender bei einer solchen Lösung dazu tendieren dürften, sich völlig auf den zentralen Schutzwall zu verlassen ("das hat ja unser Spezialist eingerichtet").
Ein positiver Nebeneffekt der "eigenen" Firewall für aktive Inhalte und Cookies könnte eine erhöhte Sensibilität sein, weil man auch selbst Verantwortung übernimmt und Entscheidungen fällt, für die man im Zweifel später geradestehen muss. Andererseits besteht natürlich das Risiko eines unachtsamen oder zu lockeren Umgangs, weil die stetigen Firewallanfragen nerven. Selbst dann wäre allerdings zunächst nur ein einziger Arbeitsplatz gefährdet - vermutlich bei Webinhalten mit einem überschaubaren Risiko. Auf anderen Ebenen dürften durch fahrlässige oder unaufmerksame Mitarbeiter jedenfalls größere Gefährdungen entstehen.
Ziel einer Personal Firewall kann aber natürlich nicht nur ein zweifelhafter psychologischer Effekt sein. Sie soll vor allem Lücken schließen, die das zentrale Firewall-System und evtl. eingesetzte Virenscanner beim Schutz der elektronischen Werte auf PCs übrig lassen. Personal Firewalls bilden auf mehreren Ebenen eine zweite Verteidigungslinie und können das Prinzip der minimalen Rechtevergabe an Stellen umsetzen, die für ein zentrales Firewall-System unerreichbar sind.
Bestimmte Angriffe kann ein zentrales Firewall-System kaum
stoppen, da sie entweder an ihm vorbei laufen oder über
erlaubte Kanäle stattfinden.
Das gilt auch für die klassische Paketfilterung. Beispielsweise laufen Nameserver-Anfragen (Domain Name Service, DNS) üblicherweise komplett im Intranet ab. Jeder PC muss zwar über den DNS-Port mit dem Nameserver kommunizieren können - auch über Abteilungsgrenzen hinweg. Andere Systeme brauchen aber über diesen Kanal nicht erreichbar zu sein. Ein entsprechender Verbindungsversuch könnte auf ein Trojanisches Pferd im Intranet oder eine so genannte DNS Spoofing Attacke hinweisen, bei der ein Angreifer probiert, Verbindungen durch falsche Angaben auf von ihm kontrollierte Systeme umzulenken.
Windows-Freigaben lassen sich mit Personal Firewalls ebenfalls gut überwachen und nicht nur auf (relativ leicht auszuspähende) Anmeldeinformationen, sondern auch auf Rechnersysteme beschränken. Unter Umständen kann man selten genutzte Zugänge sogar fallweise interaktiv gestatten. Insgesamt besteht bei flächigem Einsatz von Personal Firewalls eine große Wahrscheinlichkeit, hausinterne Angriffe oder Angriffsvorbereitungen (z.B. Portscans) zu bemerken, da entsprechend viele "Rezeptoren" vorhanden sind.
Der lokale Paketfilter arbeitet technisch gesehen genau wie in zentralen Firewalls: Er interpretiert eingehende Daten und verifiziert, ob die Steuerdaten (Header) den definierten Regeln entsprechen, um den Computer vor "malformed packets" zu schützen, die evtl. Abstürze verursachen oder per Buffer Overflow Angriffs-Code einschleusen können. Die Regeln erlauben nur die notwendige Kommunikation und ermöglichen je nach Funktionsumfang des Produkts auf den verschiedenen Kommunikationsebenen unterschiedliche Prüfungen:
Weiterhin kann eine Firewall zeitliche Bedingungen in den Regeln erlauben, die etwa bestimmte Beschränkungen oder Freigaben nur während der Mittagspause oder nachts aktivieren. Verschiedene Regeln für verschiedene Benutzer sind ebenfalls möglich. Da der Arbeitsplatzcomputer ohnehin eine Authentifizierung durchführt, sind hierfür keine zusätzlichen Mechanismen notwendig, wie das oft bei zentralen Firewall-Systemen der Fall ist, denen die lokale Anmeldeinformation ja nicht ohne weiteres zur Verfügung steht.
Entscheidend ist aber, dass Personal Firewalls anwendungsspezifisch filtern können: Während es für den installierten Web-Browser normal ist, über HTTP (Port 80) auf Internet Sites zuzugreifen, sollte einem das bei Word verdächtig vorkommen, zumindest wenn man nicht gerade selbst auf einen Link in einem Dokument geklickt hat. Mit einer restriktiv konfigurierten Personal Firewall hat man eine gute Chance, eingeschleppte Trojaner beim Verbindungsaufbau zu erwischen. Für moderne Trojaner-Clients, die von sich aus eine Verbindung zu ihrem Urheber (z.B. via Internet Relay Chat, IRC) aufbauen, sind zentrale Paketfilter hingegen nur dann ein Hindernis, wenn der komplette Dienst (Port) für die Verbindungsaufnahme gesperrt ist. Bei HTTP hilft dann auch kein Zwangsproxy im zentralen Firewall-System, da dieses nicht zwischen einem Browser und einem Trojaner unterscheiden kann.
Neben der Reglementierung der Kommunikation übers Netz können Personal Firewalls auch eine Überwachung von anderen Ressourcenzugriffen im Betriebssystem verankern. Hierbei handelt es sich um eine Erweiterung des Firewall-Gedankens von Netzwerkverbindungen auf das Dateisystem, die Systemregistrierung, Peripheriegeräte (Tastatur, Drucker, Modems, Chipkartenterminals usw.) und selbst Betriebssystemaufrufe wie der Darstellung von Dialogboxen. In der Praxis sind zwei Ansätze zu erkennen: Entweder spezifiziert man explizit besonders schützenswerte Ressourcen (meist Dateien) für eine spezielle Überwachung oder alle (nicht als vertrauenswürdig eingestuften) Anwendungen laufen in einer überwachten Umgebung, der so genannten Sandbox (siehe auch Seite 70).
Das Sandbox-Modell erlaubt Software nur in einem vorgegebenen Umfang beliebig zu agieren. Der Zugriff auf weitere Ressourcen wird verwehrt oder erst nach expliziter Freigabe durch den Anwender/Administrator gestattet. Einem Web-Browser könnte man beispielsweise den lesenden Zugriff auf die Festplatte verbieten, um Spionage vorzubeugen. Auch eine Beschränkung von Downloads auf ein spezielles Verzeichnis "neu" ist sinnvoll. Dann könnten Sicherheitslücken in der Implementierung aktiver Inhalte keine Dateien mehr in den Autostart-Ordner schreiben, um damit nach einem Neustart das System zu übernehmen.
Ein zentraler Content-Filter ist zwangsläufig schwerfällig und grob, sowohl was aktive Komponenten angeht als auch bei "passiven Inhalten": Bestimmte Daten sind nur in einem sehr begrenzten Kontext sensitiver Natur. Wenn ein Anwender "IkaGS%67" als Passwort nutzt, sollte diese Zeichenfolge nicht unvermittelt ins Internet übertragen werden - eine generelle Sperre für alle Mitarbeiter einer Firma macht hingegen wenig Sinn, sondern führt über die notwendigen Filtereinträge an zentraler Stelle sogar ein zusätzliches globales Risiko ein.
Eine Personal Firewall kann unter Mitwirkung des Anwenders ausgehende Datenströme auf ganz persönliche Risiken überwachen. Im Falle einer Kompromittierung der Filterdatei bleibt der Schaden dennoch lokal begrenzt - auf den Rechner, der ohnehin ein Sicherheitsproblem hat, das zu eben dieser Kompromittierung führte.
Zudem erlauben Personal Firewalls eine site-spezifische Sperre bzw. Freigabe von Cookies und aktiven Inhalten. Lassen sich Java Applets und ActiveX Controls recht gut abfangen, so ist bei JavaScript Vorsicht angebracht, da Angreifer den Code in derart vielen HTML-Tags verstecken können, dass eine vollständige Filterung kaum durchführbar erscheint. Hier müssen dann ggf. die anderen Sicherungsmaßnahmen (vor allem die Sandbox) "durchgerutschten" Angriffscode in seiner Wirkung beschneiden.
----------Anfang Textkasten----------
Anfang August hat Dan Brumleve zwei Sicherheitslöcher in der Java-Implementation des Netscape Browsers gefunden (www.brumleve.com/BrownOrifice/). Dadurch war es ihm möglich, ein Java Applet zu programmieren, das die Java-interne Sandbox durchbricht und Netscape zum Fileserver für Zugriffe von beliebigen IP-Adressen macht. Darüber hinaus soll "Brown Orifice" (BOHT TPD), wie Brumleve seine Angriffsdemo genannt hat, Außenstehenden per HTTP- und FTP-Proxy Zugriffe ins Intranet ermöglichen. Wer mit dem Communicator/Navigator und aktiviertem Java surft, könnte also ohne es zu bemerken sämtliche Intranetserver und seine komplette Festplatte kompromittieren (es sei denn, ein zentrales Firewall-System filtert grundsätzlich alle Java Applets).
Anwender, die durch eine Desktop Firewall geschützt sind, erhalten beim Zugriff auf ein solches, bislang unbekanntes Spionage-Applet je nach Konfiguration und Produkt zumindest Warnhinweise oder sind ohne weiteres geschützt. Die lokale Sicherungssoftware kann dabei auf verschiedenen Ebenen eingreifen:
Eine Desktop Firewall schützt den Anwender bei umsichtiger
Konfiguration vor unbekannten Angriffen. Brown Orifice hätte
keine Chance, unentdeckt beim Besuch einer Website eine
Hintertür zu öffnen.
----------Ende Textkasten----------
Personal Firewalls eignen sich aufgrund ihrer tiefen Verankerung im Betriebssystem prinzipiell auch als Audit-Tools für Installationen und Registry-Zugriffe. Sie können den Benutzer informieren, bevor dauerhafte Veränderungen am System eingeleitet werden, und ihn oder eine zentrale Stelle alarmieren, wenn heikle Transaktionen im Gange sind (evtl. sogar als Agent eines Intrusion Detection Systems). Alle verdächtigen Aktivitäten und Zugriffsversuche können sie zur weiteren Auswertung in einem Logbuch festhalten.
Mit Hilfe einer zentralen Verwaltungsschnittstelle für die Personal Firewalls sind Unternehmen in der Lage, die eigene Sicherheitspolitik organisationsweit einfach, kostengünstig und verbindlich umzusetzen. Der Administrator kann anwendungs- und/oder benutzerorientiert Einstellungen der Personal Firewall kontrollieren und vorgeben. Ob darüber hinaus der Anwender Eingriffsmöglichkeiten zur Ver- und Entschärfung hat, sollte individuell zu modifizieren sein - je nach Know-how des Mitarbeiters und dem Risikopotenzial des jeweiligen Systems.
Leider wird man derzeit nicht alle Möglichkeiten von Personal Firewalls in einem einzigen Produkt vereint finden. Die beste Wahl hängt von den konkreten Anforderungen ab. Einen möglichst wartungsfreien Grundschutz mobiler Arbeitsplätze gewährleistet sicherlich andere Sicherungssoftware, als man sie zum Feintuning kritischer Abteilungen mit qualifizierten Anwendern benötigt.
Für ein Firmennetz sind Personal Firewalls auf sich allein gestellt ohnehin keine befriedigende Lösung: Sowohl für die Vorgaben der Internetnutzung als auch für Sofortmaßnahmen im Angriffsfall kann man auf eine zusätzliches zentrales Firewall-System kaum verzichten. Entscheidend für bestmöglichen Schutz ist die enge Verknüpfung mehrerer unabhängiger Sicherheitsmechanismen wie zentrales Firewall-System, Virenscanner, Festplatten- und/oder Dateiverschlüsselung sowie Personal Firewall - idealerweise unter dem Dach eines gemeinsamen System-Managements. Je verteilter schützenswerte Daten im Firmennetz vorliegen und je verbreiteter eine Internetnutzung erwünscht ist, desto wichtiger werden auch dezentrale Sicherheitskomponenten, die vor Ort das Geschehen beobachten.
Personal Firewalls (Auswahl) |
|||||
Conseal PC Firewall |
eSafe Protect |
Norton Internet Security 2000 |
Sphinx Desktop Firewall |
SafeGuard Personal Firewall |
|
Version Hersteller Web-Adresse Einzelpreis Sprache |
2.0.4 Network Associates www.nai.com ca. 115 DM Englisch |
2.2 Aladdin www.esafe.com ca. 129 DM Englisch/Deutsch |
1.0.138.0 Symantec www.symantec.com 149 DM Englisch/Deutsch |
Beta-Version Biodata www.biodata.de ca. 100 DM Englisch/Deutsch |
1.0 Utimaco Software AG www.utimaco.de 159 DM Deutsch/Englisch |
Generelle Features zentrale Administration vorkonfigurierte Schutzbereiche Log-Dateien |
nein nein ja |
ja nein ja |
nein ja ja |
ja ja ja |
ja ja ja |
World Wide Web Ports Content-Filter Überwachung Verb.Aufbau |
ja nein ja |
ja ja ja |
ja ja ja |
ja nein ja |
ja ja ja |
Virenscanner integriert |
nein |
ja |
ja |
nein |
ja |
Sandbox Schutz von Dateien Schutz von Verzeichnissen Schutz von Laufwerken vorkonfiguriert |
nein nein nein nein |
ja ja ja ja |
nein nein nein nein |
nein nein nein nein |
ja ja ja ja |
Java Applets/Javascript Filter Scanner Liste kritischer Applets |
ja nein ja |
nein nein nein |
ja ja ja |
nein nein nein |
ja ja ja |
ActiveX-Controls Filter Scanner Liste kritischer Controls |
ja nein ja |
nein nein nein |
ja ja ja |
nein nein nein |
ja ja ja |
Cookiemanager Kontrolle Filter |
nein nein |
ja nein |
ja ja |
nein nein |
ja ja |
Dipl.-Ing. Norbert Pohlmann ist Vorstandsmitglied der Utimaco Safeware AG und Vorstandsvorsitzender des TeleTrusT-Vereins.
Norbert Pohlmann, Firewall Systeme - Sicherheit für Internet und Intranet, MITP-Verlag, Bonn 2000, ISBN 3-8266-4075-6
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 48