Desktop Firewalls/ Personal Firewalls

Arbeitsweise von Desktop Firewalls

Die sog. Desktop Firewalls (auch Personal Firewalls genannt) laufen, wie der Name schon sagt, auf dem PC selbst und überwachen die Netzwerkschnittstelle des Betriebssystems. Ihre Aufgabe ist es, Unzulänglichkeiten des Betriebssystems auszugleichen und Lücken zu stopfen.

Hierzu gehören Java- bzw. ActiveX-Angriffe, Denial of Service-Attacken vor allem auch das Verhindern von fremden Zugriffen von außen (z.B. durch Würmer oder Trojaner).

Schwächen der Desktop Firewalls

Im Gegensatz zu richtigen Firewalls laufen Desktop Firewalls auf dem gleichen Sytem, das sie schützen sollen. Sie haben daher mit denselben Systemschwächen und Sicherheitslücken zu kämpfen, wie die auf diesem System laufenden Applikationen. Sollte es also einem Angreifer gelingen, im Betriebssystem eine Lücke zu finden bzw. die Netzwerkschnittstelle des Betriebssystems zu umgehen, umgehen sie auch die Firewall selbst. Ein weiteres Szenario ist das Ausschalten/ Deaktivieren der Desktop Firewall durch ein (z.B. per E-Mail) eingeschleustes Programm.

Sinn und Unsinn von Desktop Firewalls

Da ein Windows PC normalerweise nur als Client verwendet wird, demnach also keine Server (z.B. FTP-Server, Mail-Server) gestartet sind, über die aktiv auf den PC zugegriffen werden könnte, sind zum Internet hin auch keine Ports geöffnet, über die von außen auf den rechner zugegriffen werden könnte. D.h. ein Scan aller Ports - wie sie z.B. direkt aus dem Internet heraus möglich sind (z.B. port-scan.de) - sollte keine offenen Ports zeigen. Ohne offene Ports sind jedoch keine Angriffe auf einen Windows-Client möglich - demzufolge kann eine Desktop Firewall hier auch keine Angriffe verhindern.

Dennoch gibt es Angriffs Szenarien, bei denen eine installierte Desktop Firewall einen gewissen Schutz bieten kann. Desweiteren kann eine Desktop Firewall beim Unterbinden von unerwünschter Kommunikation (Spyware/ Windows-Registrierung) recht sinnvoll sein.

Angriffs Szenarien auf einem PC Client

Leider sind bei einem standardmäßig installierten PC ein oder mehrere Ports geöffnet, die sich nicht oder nur schwer durch Konfigurierung schließen lassen. Dieses sind die Ports 135 - 139, wobei der Port 139 i.a. immer geöffnet ist. Diese Ports spielen im Netbios/ Netbeui-Umfeld eine Rolle. So wurde Port 139 z.B. bereits bei Windows 95 für den WinNuke-Angriff genutzt; in der jüngsten Vergangenheit wurde von Lovesan die RPC-Lücke (Port 135) ausgenutzt. Wenn auch alle Probleme auf fehlerhafte bzw. schlampige Programmierung bei Microsoft zurückzuführen ist (alle Lücken konnten durch Patches geschlossen werden), stellt das Schließen der Ports durch eine Desktop Firewall einen zusätzlichen Schutz da; denn wo nichts offen ist, kann auch nichts eindringen.

Eine weitere Möglichkeit unerlaubten/ unbemerkten Zugriff auf einen PC-Client zu erhalten ist das Einschleusen eines Trojaners (z.B. netbus oder subseven). Auch hier schließt eine Firewall die Ports, die durch einen Trojaner geöffnet werden. Allerdings gibt es inzwischen auch Trojaner, die (gewisse) Desktop Firewalls einfach deaktivieren bzw. die die überwachte Netzwerkschnittstelle des Betriebssystems umgehen. Deswegen ist es prinzipiell besser, seinen PC "sauber zu halten", in dem man entweder keine dubiosen Files annimmt bzw. downloaded und/ oder durch Einsatz eines Virenscanners.

Probleme beim praktischen Betrieb von Desktop Firewalls

Jede Firewall ist nur so gut wie ihre Konfiguration - das gilt auch für Desktop Firewalls. Falsch oder unzureichend konfigurierte Firewalltabellen nützen nichts und gaugeln u.U. nur eine falsche Sicherheit vor. Genau mit dem Erstellen dieser Regeln ist abr "Otto-Normal-Anwender" häufig überfordert. Ein weiteres Problem stellen die Fehlermeldungen der Desktop Firewalls dar. Hier wird oft eine unnötige Verunsicherung verursacht, da ein Anwender einen Angriffsversuch durch einen Trojaner mit dem Befall seines Rechners durch diesen Trojaner gleichsetzt. Und auch die Meldung, dass der Rechner gescannt wird hilft dem Standard-User nicht unbedingt weiter.
Ganz schlimm wird es, wenn die Firewall automatisch noch eine Angreiferverfolgung einleitet. Solche Traces sind i.a. immer unnötig, da sich die angreifende Person eh hinter dem IP-Adress-Pool seines Providers versteckt (weitere Infos auf meiner IP FAQ-Seite), häufig sind sie sogar schädlich, da der Rechner durch das Ausführen eine Trace Routes sogar an Stabilität verlieren kann.
Der Hauptnachteil - im Gegensatz zu einer Standalone Firewall - stellt jedoch die Tatsache dar, dass eine Desktop Firewall auf dem zu schützenden System (PC) selbst läuft und durch Schadsoftware (unbemerkt) abgeschaltet werden kann, so dass die Applikationen des Rechners dem Angreifer ungeschützt ausgeliefert!
Auch die Firewall selbst verbraucht u.U. jede Menge an Systemressourcen und destabiliesiert das System.

Fazit


 
Verwandte Themen: Firewalls, Wingate, Well Known Ports/ Well Known Trojaner Ports, Intrusion Detections System (IDS), Intrusion Prevention System (IPS)


Sollten Sie weitere Fragen zu diesem Thema haben, dann posten Sie diese bitte in meinem Forum, senden mir eine E-Mail oder - am besten - besuchen mich auf einer meiner Schulungen.


Weitere Fragen posten Sie bitte in meinem Internet- und Security-Forum!
In besonderen Fällen stehe ich Ihnen auch gerne per E-Mail zur Verfügung!

Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Security-Seite]

(Diese Seite wurde erstellt am 31.8.2003,
der letzte Update fand statt am 31.3.2009)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg