Personal Computing

Die richtige Firewall zum Schutz Ihres PCs

Wir haben Tipps, wie Sie die richtige Firewall finden. Moderne Firewalls bieten perfekten Schutz gegen Hacker und Spione - und sichern sensible Einfallstore wie NAS-Festplatten.

image.jpg

© Archiv

So finden Sie die richtige Firewall zum Schutz Ihres PCs gegen Hacker und Spione:  Schauen Sie sich Ihre Haustüre an. Steht sie immer offen? Auf dem Land ist das durchaus üblich, Frau Nachbarin passt auf. Oder hat Ihre Tür ein billiges Schloss aus dem Baumarkt, das jeder Amateur knacken kann? Vielleicht haben Sie aber auch eine Tür mit Metallzargen und acht gehärteten und versenkbaren Stahlbolzen. Denn Sie besitzen teure Bilder und Goldmünzen. Für einen normalen Haushalt wäre eine solche Anlage übertrieben, und Sie fahren am besten mit einem hochwertigen Sicherheitszylinder als Schloss. 

Ähnliche Überlegungen gelten für eine Firewall, die Ihre Tür zum Internet darstellt. Die Möglichkeiten reichen von gar keiner Firewall bis hin zu Geräten, die viele Tausend Euro kosten. Die ist natürlich am sichersten, aber benötigen Sie so viel Schutz? Wahrscheinlich nicht. Ihre Gegner sind in erster Linie Script-Kiddies auf der Suche nach Zufallstreffern, also Rechner mit offen stehenden Sicherheitslücken. 

Auch Trojaner sind eine Gefahr, die sich über infizierte Webseiten einnisten (hier hilft keine Firewall), und versuchen dann mit Ihrem Steuerungsnetz (Command-and-Control-Net) Kontakt aufzunehmen. Vielleicht wollen Sie auch einfach nur bestimmte Anwendungen durchlassen (Web, Mail, FTP etc.) und alles andere wie Tauschbörsen blockieren.

Verschiedene Firewalls bieten nun vielfältige Schutzvorrichtungen gegen diese Angreifer-Typen an. Bevor wir die passenden Konzepte vorstellen, sollte man sich die zentrale Aufgabe von Firewalls noch einmal vergegenwärtigen: Eine Firewall filtert einzelne Datenpakete nach Adressen. Dieser sogenannte Paketfilter schaut sich jedes ein- und ausgehende Paket an und prüft anhand von Regeln, ob es an eine erlaubte oder verboten Adresse geht. 

Windows Firewall

© Hersteller

Auch in der Windows-Firewall können Sie gezielt bestimmte Ports (z.B. von Tauschbörsen) sperren.

Genau genommen besteht eine Adresse dabei aus zwei Teilen: die IP-Adresse und der Port. Z.B.: 62.146.14.116:80. Das heißt, ein Rechner (62.146.14.116) hat mehrere Ports (z.B. 80), die für verschiedene Dienste stehen (80 = http/Web). Eine Firewall kann sowohl Adressen als auch Ports in beide Richtungen sperren oder eröffnen. Eine typische Regelfolge wäre also: 1. Sperre erst mal alles; 2. dann erlaube den Zugriff auf Port 80 von innen nach außen; 3. sperre aber die Adresse 123.123.123.123 komplett. 

Die Einstellung bedeutet: Rechner im Netz dürfen auf das Web von innen nach außen zugreifen. Von außen darf gar nichts nach innen dringen. 123.123.123.123 ist nicht erreichbar, auch nicht über Port 80. In diesem Regelwerk könnte ein interner Rechner zwar einen externen Webserver erreichen, aber keine Daten zurückempfangen, da von außen nach innen alles zu ist. 

Hier greift nun eine spezielle Dynamik ein, die einer harten Regel weiche Sitzungsinformationen zufügt (Stateful Packet Inspection, SPI). Das heißt, wenn von innen eine Anfrage nach außen kommt, wird eine zeitlich begrenzte Sitzung eröffnet. Währenddessen darf der entfernte Rechner Daten als Antwort zurücksenden, auch ohne dass eine Regel dafür vorliegt. Der Zeitrahmen liegt je nach Firewall bei 15 bis 60 Minuten. 

Windows-Firewall 

Jeder Windows-Rechner ab XP SP2 ist durch die Windows-Firewall geschützt, jedoch nur in eine Richtung: von außen nach innen. Das heißt, kein Rechner kann von außen auf den Windows-Rechner zugreifen, alle Ports sind dicht. Möchte ein Dienst nun einen Port nach außen öffnen (zum Beispiel ein Fernwartungsprogramm), so warnt die Firewall und bittet um Erlaubnis des Anwenders. Umgekehrt kann alles von innen nach außen uneingeschränkt passieren. 

Die Windows-Firewall lässt sich präziser konfigurieren. Öffnen Sie Systemsteuerung/System und Sicherheit/Windows Firewall/Erweiterte Einstellungen. Nun finden Sie alle ein- und ausgehenden Regeln, die Windows automatisch angelegt hat. Wollen Sie eine hinzufügen, klicken Sie z.B. bei den ausgehenden auf Neue Regel. Wählen Sie im Folgenden Port/TCP/6969/ Verbindung blockieren. Nun sind Verbindungen zu einem wichtigen Bittorrent-Port gesperrt (bitte weitere beachten).

Comodo Firewall

© Comodo

Schalten Sie die Comodo-Firewall in den Erweiterten Einstellungen auf Eigene Richtlinie. Dann warnt sie bei jedem neuen Internetzugriff.

Personal Firewall

Im Unterschied zur externen Firewall (oder Hardware-Firewall) sitzt die Personal Firewall auf dem Rechner, den Sie schützen soll (auch die Windows-Firewall zählt dazu). Das hat eine Reihe von Vorteilen. Sie blockiert zum Beispiel Angriffe aus dem internen Netz, das die Hardware-Firewall nur nach außen schützt. Und sie bietet eine gewisse Kontrolle für Programme auf dem Rechner. Die gibt es oft als Teil einer Internet Security Suite oder als Freeware, die bekanntesten sind Comodo oder Zone Alarm

Meist verfügen Software-Firewalls über eine weiße Liste, die alle gängigen Internetprogramme enthält: Browser, E-Mail-Tools oder Sync-Tools. Bittet ein fremdes Programm um Zugriff auf das Internet, zeigt die Firewall eine Warnung. Das schützt insbesondere vor Trojanern, die Kontakt mit ihrem Kontrollnetz aufnehmen wollen. Der Hauptnachteil von Personal Firewalls ist, dass sie manipulierbar sind. Einem Schadprogramm kann es gelingen, daran vorbeizufunken.

Firewall im Router

Alle gängigen DSL-Router verfügen über eine Firewall-Funktion. Diese bietet einen ähnlichen Schutz wie die Windows-Firewall - und hat den Vorteil, dass sie extern sitzt und nicht so einfach manipulierbar ist. Ein Router blockiert alles von außen nach innen. Von innen nach außen lässt der Router jedoch alles passieren. Den Zugriff von außen müssen Sie von Hand für erforderliche Ports freigeben. In der Benutzeroberfläche der Fritzbox wählen Sie beispielsweise Internet/Freigaben/Portfreigaben. 

Da Anwender im Umgang mit dem Router so wenig Probleme wie möglich haben sollen, besitzen die Geräte eine Komfortfunktion, die jedoch ein Sicherheitsrisiko birgt. Die Router lassen sich per Universal-Plug-and-Play (UPnP) konfigurieren. Dieser Standard ermöglicht, dass verschiedene Geräte sich automatisch über das Netz erkennen und zusammenarbeiten, z.B. Stereoanlage und Streaming-Server. Manche Geräte, zum Beispiel NAS-Server, können nun auch Ports in der Router-Firewall mit UPnP automatisch freischalten - praktisch, aber gefährlich

So ist plötzlich ein Zugriff von außen ins Heimnetz möglich, ohne dass der Anwender eine Warnung erhält. Das sollten Sie in der Benutzeroberfläche des Routers prüfen. Bei der Fritzbox schalten Sie zuerst die erweiterte Ansicht ein (System/Ansicht/Erweiterte Ansicht). Dann wählen Sie Heimnetz/Netzwerk/Programme. Hier darf bei Änderungen der Sicherheitseinstellungen über UPnP gestatten kein Haken sein. Eine Firewall mit mehr Möglichkeiten bieten die Router von Lancom, die sich wie eine im Folgenden beschriebene Hardware-Firewall präziser konfigurieren lassen.

DSL- und WLAN-Router

© Hersteller

Die Netgear-Firewall ist gleichzeitig DSL- und WLAN-Router für das lokale Netz.

Welche Firewall für wen?

Entscheiden Sie selbst, wie viel Sicherheit Sie in Ihrem Netz benötigen. Über viele Firewall-Funktionen verfügen die meisten Anwender von Haus aus: über die Windows-Firewall und einen Schutz im Router.

Bildergalerie

Windows Firewall
Galerie

Windows-FirewallDie Windows-Firewall ist eine Personal Firewall, die Zugriffe von außen blockiert. Wenn ein Programm einen Dienst für den Zugriff…

Hardware-Firewall

Eine richtige Firewall bietet ein feingliedriges Regelwerk an, mit dem Sie gezielt nur die Dienste durchlassen, die Sie haben wollen - egal, in welche Richtung. Außerdem gibt es ein paar Besonderheiten, z.B. einen komplett durchgesicherten VPN-Tunnel und eine DMZ-Funktion (siehe Kasten) für Serverdienste. Meist ist die Konfiguration gar nicht so schwer, wenn man das oben beschriebene Grundprinzip einer Firewall verstanden hat. 

Wir wählen als Beispiel im Folgenden das Modell FVS318N von Netgear (ca. 150 Euro), das auf DSL-Anwender zugeschnitten ist. Sie benötigen zwar noch ein Modem, aber die DSL-Zugangsdaten liegen in der Firewall. Kein Fremder kann also das Modem unter Umgehung der Firewall verwenden (es sei denn, er kennt Ihre Zugangsdaten). Ferner ist die Firewall ein LAN- und WLAN-Router im Netz (Gigabit Ethernet und 2,4 GHz WLAN).

Falls Ihr DSL-Modem/Router noch Zugangsdaten enthält, löschen Sie diese und schalten das WLAN ab. Schließen Sie nun die Firewall mit einem Ethernet-Kabel an das DSL-Modem an, bei der Firewall an den mit WAN beschrifteten Port. Schließen Sie nun den Rechner über Ethernet-Kabel an einen LAN-Port der Firewall. Öffnen Sie im Browser die Adresse: https://192.168.1.1/. 

Die nun folgende Zertifikats-Fehlermeldung des Browsers übergehen Sie und fügen eine Ausnahme hinzu (je nach Browser anders). Dann erscheint das Firewall Login. Die voreingestellten Daten sind admin/password. Nach dem Login sehen Sie die Statusseiten, welche Funktionen aktiv und welche Buchsen belegt sind. 

Firewalll

© Hersteller

In der Firewall legen Sie Regeln für den Zugriff fest.

Im Menü Users sollten Sie nun zuerst das Admin-Passwort ändern. Gönnen Sie sich ein Passwort eines Passwortgenerators mit 30 Zufallszeichen. Nun konfigurieren Sie den DSL-Zugang. Wählen Sie Network Configuration/Broadband ISP-Settings (IPv4). Geben Sie bei ISP-Login die DSL-Zugangsdaten ein und bei ISP-Type in Deutschland PPPoE. Klicken Sie unten auf Apply, um die Daten zu speichern. Daneben gibt es auch einen Button Test

Unter Network Configuration finden Sie auch die Wireless Settings. Wählen Sie den Reiter Profil und dann bei default1 Edit. Nun geben sie bei Security WPA2 als Standard vor. Bei authentication vergeben Sie das WLAN-Passwort. Bestätigen sie mit Apply. Ihr WLAN finden Sie nun am Computer unter FVS318N_1. Sie können noch weitere Profile definieren, z.B. für ein Gästenetz. 

Jetzt greifen Sie auch per WLAN auf die Firewall zu und definieren die Regeln gemütlich vom Sofa aus. Unter Security finden Sie in der Firewall unter dem Reiter LAN WAN Rules zuerst einen Schalter Default Outbound Policy: Was soll mit ausgehenden Verbindungen standardmäßig geschehen? Wählen Sie Block Always/Apply. Sofort können Sie im Browser feststellen, dass kein Surfen mehr möglich ist. 

Firewall-Glossar

Wenige PC-Anwender beherrschen die Begriffe des Firewall-Jargons.

  • Demilitarized Zone (DMZ): Eine Zone zwischen Internet und lokalem Netz, in dem die nach außen geöffneten Server stehen (siehe Extrakasten).
  • Inhaltsfilter: Die Firewall untersucht nicht nur den Header, sondern auch den Inhalt der Pakete, um beispielsweise ActiveX, Java oder Seiten mit bestimmten Stichworten herauszufiltern.
  • Intrusion Detection (IDS): Eine zusätzliche Sicherheitsfunktion: Der Inhaltsfilter sucht nach Schadcode. 
  • Paket: Ein kleiner Datenschnipsel, der aus Inhalt und Kopf (Header) besteht. Im Header finden sich Angaben zum Übertragungsprotokoll und zu Absender und Empfänger. Die Firewall beschäftigt sich im Prinzip nur mit dem Header.
  • Paketfilter (Packet Inspection): Die normale Funktion einer Firewall: prüfen, ob ein Datenpaket zu- oder unzulässig ist. Dafür setzt der Admin Regeln auf.
  • Personal Firewall: Eine Firewall, die auf dem zu schützenden Rechner sitzt und nicht in einem externen Gerät. 
  • Port: Eine weitergehende Untergliederung der IP-Adresse. Denn Server bieten unter einer IP oft verschiedene Dienste an, die eigene Portnummern haben. Für den Webserver ist Port 80 festgelegt, für den POP3-Mail-Server 110.Weitere Informationen 
  • Regel: Die Regel legt fest, welche Pakete die Firewall akzeptieren soll und welche ablehnen. 
  • Stateful Packet Inspection (SPI): Hier eröffnet die Firewall eine zeitlich begrenzte Sitzung, sobald ein Anwender aus dem internen Netz auf einen Server im Internet zugreift. Während der Sitzung darf der Server dem Anwender antworten, ohne dass es eine extra Regel für den Zugriff von außen nach innen geben muss.

Das ändern Sie schnell, indem Sie eine neue Regel definieren. Wählen Sie in der Tabelle Outbound Services Add. Bei Service wählen Sie das Protokoll, das sie freigeben wollen (z.B. HTTP, HTTPS, POP, IMAP etc.). Bei Action: Allow always. Das können Sie auch zeitlich oder auf bestimmte IP-Adressen begrenzen. Sofort können Sie wieder Browsen. 

Wenn Sie Ports freigeben wollen, die Sie nicht als Service vorfinden, müssen Sie selbst einen Dienst definieren: Wählen Sie den Reiter Services. Bei Add Custom Service vergeben Sie einen Namen (z.B. POP3SSL), wählen TCP oder UDP, und geben Start- und End-Port ein. Sie können an dieser Stelle sogar einen Dienst priorisieren. Nun finden Sie Ihren Dienst in der Liste der Services, die Sie für den ein- oder ausgehenden Zugriff freigeben können.

Das sind die Grundfunktionen. Betreiben Sie einen Server, der von außen erreichbar sein soll, so stellen Sie ihn in die DMZ. Für den Zugriff auf Server in der DMZ brauchen Sie mehr Regeln, nämlich Zugriff aus dem lokalen Netz und Zugriff von außen. Beide Regelsätze finden Sie unter DMZ WAN Rules (von außen) und DMZ LAN Rules (aus dem lokalen Netz). Sie sollten keinen Zugriff aus dem DMZ ins LAN erlauben. Nur von außen in die DMZ und nicht weiter. 

Die Netgear-Firewall bietet sogar Inhaltsfilter, sodass Sie beispielsweise Java oder ActiveX sperren können. Wählen Sie Security/Content Filtering. Unter Monitoring/Firewall Logs können Sie umfangreiche Logfiles anlegen lassen. 

Firewall

© Hersteller

Ports und Dienste, die die Firewall noch nicht kennt, können Sie selbst definieren und später für Regeln verwenden.

Fazit 

Ein standardmäßiger Router mit integrierter Firewall in Kombination mit der Windows-Firewall bietet ein ausreichendes Schutzniveau für den Heimanwender gegen Angriffe von außen. Zusätzlich sollte auf dem Rechner eine Personal Firewall laufen, die Trojanern und Spyware an der Quelle blockiert. Das kann eine Komponente in der Antiviren-Suite oder eine Freeware sein. Wer die Kontrolle des heimischen Netzes erweitern will oder ein kleines Firmennetz absichern möchte, sollte eine Hardware-Firewall anschaffen. 

Die gibt es in Kombination mit DSL-Routern, zum Beispiel von Lancom (als Router) oder Netgear (als Firewall). Völlig abraten würden wir von gar keiner Firewall, denn das Internet ist nicht wie das Leben auf dem Land und keine nette Nachbarin passt auf, dass keiner in Ihr Haus einbricht.

Demilitarisierte Zone (DMZ)

DMZ

© Archiv

Die DMZ sitzt zwischen lokalem Netz und dem Internet. Hier stehen die Firmenserver, die Dienste nach innen und nach außen anbieten.

In vielen größeren Netzen ergibt sich das Problem, dass es Anwenderrechner gibt, die auf das Internet zugreifen wollen, und Server, die Dienste nach außen anbieten (oft Web- oder Mail-Server). Kein Admin will nun die Server im geschützten Netz stehen haben, denn dann müsste er dieses für den Zugriff von außen öffnen. Dennoch sollen auch die Server durch eine Firewall geschützt werden. Hier errichtet man eine Demilitarized Zone. 

Firewall

© Hersteller

Moderne Firewalls verfügen über einen eigenen DMZ-Bereich, der vom lokalen Netz physikalisch abgetrennt ist.

Im klassischen Fall stehen hier zwei Firewalls (siehe Grafik), eine vor und eine hinter den Servern. Die erste Firewall ist offener, die zweite verschlossener. Der Admin sollte bei der Konfiguration keinen Zugriff aus der DMZ in das sichere Netz zulassen. Viele moderne Firewalls verfügen über eine DMZ-Zone in einem Gerät. Hier gibt es einen abgetrennten DMZ-Slot für Server, der sich eigens konfigurieren lässt. Sicherer ist Variante 1, wenn möglich mit Firewalls verschiedener Hersteller. Denn hat der Hacker eine Sicherheitslücke in einem Gerät gefunden, kann er diese nicht auf das zweite übertragen.

Mehr zum Thema

Die gefährlichsten Themen im Web.
Webseiten als Malware-Schleudern

Verseuchte Internetseiten sind heute der wichtigste Weg, um Schädlinge zu verbreiten. Bei bestimmten Themen ist die Gefahr besonders groß, seinen…
So richten Sie SSL-Verschlüsselung für Ihr Postfach ein.
GMX, Web.de & T-Online

Ab April 2014 setzen GMX, Web.de und T-Online auf SSL-Verschlüsselung für E-Mails. Wir zeigen, wie Sie die Apps für iPhone, iPad & Android-Geräte…
Maridav - Fotolia.com
Cyber-Kriminalität

Sicherheitsexperten von G Data warnen vor unseriösen Last-Minute-Schnäppchen im E-Mail Postfach. Cyber-Kriminelle nutzen die Gunst der Ferienzeit…
Logos der Browser Firefox, Chrome und Internet Explorer
Browser-Sicherheit

Je mehr Cloud-Dienste Sie einsetzen, desto wichtiger wird der Browser. Lesen Sie, wie Sie Firefox, Chrome und Internet Explorer mit Add-ons sicherer…
IT-Symbolbild
Anonym surfen

Wenn Sie im Internet surfen, dann hinterlassen Sie Spuren. Wir zeigen, wie Sie im Netz anonym und unsichtbar bleiben.