Den größtmöglichen Schutz vor Angriffen und/oder Befall von Viren und Co. haben Sie durch die zusätzliche Verwendung (ein weiterer Baustein neben dem Antiviren-Scanner und -Wächter) einer Firewall, welche grundsätzlich folgende Aufgaben übernimmt:

• Portfilterung über Regeln:

Ein Computer verfügt über 65.535 Ports, denen sich Aufgaben zuweisen lassen, um den komplexen Netzwerkverkehr (z.B. Internet) abzuwickeln. Die Firewall legt nun fest, welche Programme und Dienste auf Ihrem Rechner, als Server oder Client (oder beides) über welche Ports und Protokolle mit welcher IP-Adresse mit dem Internet kommunizieren dürfen und weist alle anderen Verbindungen ab, welche den Regeln widersprechen.

• Kontrolle der Verbindungen

• von innen nach außen: lokale Applikationen öffnen Verbindungen nach außen (z.B. Spyware, Trojaner, Homephone-Software, Dialer, Application-Hijacks). Eine Firewall wird eine ihr unbekannte Verbindung nicht zulassen, bis man es ausdrücklich erlaubt (Erstellung einer Regel).
• von außen nach innen: Angriffe, Portscans, Würmer , Sasser), Trojaner, Brute-Force-Attacks

• SPI (Stateful Packet Inspection)

Ein ankommendes Datenpaket wird bereits auf der Netzwerkschicht abgefangen und im Hinblick auf statusbezogene Informationen zu allen Netzwerkverbindungen untersucht und verfolgt. Dieser Prozess ermöglicht somit eine Überprüfung (über einen Sniffer) der komplexen Datenübertragungsmuster verschiedener Anwendungen (z.B. http, ftp) im Netzwerk, um festzustellen, ob die Datenpakete passieren dürfen oder abgewiesen werden (dropped).

• Aufzeichnung

Die Firewall zeichnet bei einem Vorfall (bzw. nach Definition) die Einzelheiten jeder Verbindung oder Zugriffsversuchs in einem Protokoll auf. Dieses kann auch die Datenpakete (siehe SPI) beinhalten. Folgende Informationen werden u.a. aufgezeichnet: Log-Zeit, Aktion, Richtung, Protokoll, Remote-Host, Remote-MAC, Remote-Port, Local-Host, Local-Mac, Local-Port, IP-Adresse, Applikation, Beginn und Ende der Übertragung, evtl. ausgelöste Regel. Bei SPI-Log zusätzlich den Hexadezimalcode sowie weitere umfassende Details zum Datenpaket. Über die Traceroute (Datenspur) kann das Paket bis zu seinem Ursprung verfolgt werden und ein (potentieller) Eindringling ermittelt werden.

• Benachrichtigung

Die Firewall benachrichtigt den User oder Administrator bei einem Vorfall (bzw. nach Definition) über ein Pop-Up-Fenster, akustisches Signal und/oder E-Mail. Letztere Möglichkeit eignet sich ausgezeichnet für ferngewartete Netzwerke oder Computer.

Darüber hinaus bzw. um den oben beschriebenen Schutz zu gewährleisten, sollte eine Firewall folgende Features bieten:

• Intrusion Prevention: siehe auch Stateful Packet Inspection oben
• Application-Rules: Regelerstellung auf Programm-Basis
• Advanced-Rules: Erstellung übergeordneter Regeln auf Verbindungsebene
• Anti-Application Hijacking: unbekanntes Programm benützt vertrauenswürdiges Programm, um sich “zu verwirklichen”
• Portscan Detection: Portscan wird sofort geblockt (IP-Adresse des Hackers)
• Drivel Level Protection: Überwachung Netzwerktreiber-Bindungen
• DOS Detection: Blocked Denial of Service Attacks
• Block UPnP-Traffic: Universell Pug and Play über das Netz ist nicht mehr möglich
• Anti-Mac-Spoofing: verbirgt eigene MAC-Adressen (sind somit vor Dritten geschützt)
• Anti-IP-Spoofing: Die TCP-Sequence-Number wird zufallgeneriert
• OS-Fingerprint Masquerading: schützt vor gewöhnlichen OS-Fingerprint-Attacks
• NetBIOS Protection !: Blocked NetBIOS-Verkehr vom externen Gateway, d.h. dieser wird nur im LAN (lokalen Netzwerk) zugelassen (z.B. Datei- und Druckerfreigaben)
• Smart Traffic Handling: steuert den Umgang mit Smart- DNS, - DHCP und - WINS
• DLL-Authentication: erkennt geänderte “Dynamic Link Library´s” und frägt nach (z.B. nach Update), d.h Missbrauch über bereits zugelassene Applikationen ist nicht möglich
• Stealth Mode Browsing: verbirgt Daten gegenüber Webservern (z.B. verwendetes Betriebssystem etc.)
• Individual Configuration of different Network Interfaces: Individuelle Einstellungen der vorhandenen Netzwerkverbindungen (z.B. ISDN, DSL, Modem, DFÜ).

Eine Firewall ist somit ein “Gerät” (kann Hard- und/oder [reine] Software sein), welches ein Netzwerk oder Standalone-Computer vor einem anderen Netzwerk schützt aber gleichzeitig eine Kommunikation zwischen beiden Netzwerken zuläßt. Quasi wird ein Kompromiss zwischen Sicherheit und Funktionalität über definierte Regeln eingegangen. Diesen ist deshalb höchste Beachtung und Pflege zu schenken. Fehlerhafte oder unzureichende Regeln stellen eher eine Sicherheitslücke als einen Schutz dar ! Eine Firewall sollte auch lediglich ein Bestandteil eines ganzen Sicherheitskonzepts sein.

Auch enthebt Sie den Anwender nicht von der Aufgabe, Korrekturen für sein System selbst zu besorgen und einzufahren !

Die Erstellung von applikationsbasierten Regeln (abhängig von Programmen) sowie verbindungsbasierten Regeln (abhängig von Protokollen und Ports) ist unabdingbar.

Sehen Sie hierzu auch unsere Seite Ports und Protokolle mit Internetgateway und Konfiguration diverser Firewalls”.

Auf der Seite www.grc.com (ShieldsUp) können Sie IHR System auf Sicherheitslücken bzgl. Ihrer Internetverbindung testen. Auch wenn Sie schon eine Firewall besitzen, haben Sie die Möglichkeit diese auf Durchlässigkeiten und Konfiguration hin zu prüfen.

Beispiele für bekannte Angriffe aus dem Internet, die eine Firewall abwehrt:                                  

• Fore, WebEX, WinCrash (Trojans) zu Port 21 TCP
• Hackers Paradise (Trojan) zu Port 31 TCP
• Executor (Trojan) zu Port 80 TCP
• Satanz Backdoor (Trojan) zu Port 666 TCP
• (Wurm) und (Wurm) zu Port 135 TCP
• Portscans
• DoS-Angriff (Denial of Service Attack)