Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
Firmenlogo

Paketfilter / Firewalls

Die Bezeichnung Firewall wird leider so gut wie immer falsch verwendet. Das, was üblicherweise gemeint ist, ist nichts weiter, als ein Paketfilter.

Dieser Abschnitt beschäftigt sich mit Softwarefirewalls, auch Desktop Firewall oder einfach Paketfilter genannt.

Die meisten "Sicherheitsexperten" so wie Verkäufer und Marketingfuzzies werden erzählen, dass man unbedingt eine solche Software benötigt. Tatsächlich ist es jedoch so, dass ein Rechner über ein Netzwerk nur angegriffen werden kann, wenn er Dienste anbietet, welche Sicherheitslücken haben. Ein jeder Rechner hat von sich aus 65535 TCP- und genau so viele UDP Ports. Über keinen dieser Ports ist ein Rechner per se angreifbar. Erst wen an einem oder mehreren davon Serverdienste anliegen, sind die Serverdienste möglicherweise angreifbar, und können somit das System gefährden.

Eine Anfrage auf einen geschlossenen Port wird vom Betriebssystem automatisch mit einem "Port nicht verfügbar" beantwortet. Etwas anderes tut ein Paketfilter auch nicht - maximal wirft er die Anfrage noch unbeantwortet weg.

Der einzig logische Ansatz ist also nun, einfach keine Serverdienste nach außen anzubieten, oder wenn man diese wirklich benötigt, eben auch stets nach Sicherheitslücken zu untersuchen, zu warten, und schnellstmöglich zu updaten, falls Sicherheitsrisiken bekannt werden. Das macht auf jeden Fall deutlich mehr Sinn, als Server auf dem eigenen Rechner laufen zu lassen, und diese dann mit zusätzlicher Software den Zugriff auf diese Server zu unterbinden. Ein komplexes, unsicheres System kann durch Erhöhung der Komplexität nicht sicherer gemacht werden. Wohl aber unsicherer.

Ein vernünftig konfiguriertes System braucht keine Paketfilter um sicher zu sein. Ein nicht vernünftig konfiguriertes System braucht nicht noch mehr Software, die den Anwender überfordert, sondern eine sinnvolle Konfiguration.

 

Welche Türe (Port) ist wohl schwieriger zu passieren?

 

Ein offener Port, der mit einem Paketfilter abgesichert wird,

oder wohl eher doch  ein geschlossener Port, an dem kein Serverdienst aktiv ist?

Es gibt ganz wenige Szenarien, bei denen ein Paketfilter sinnvoll ist. Dazu zählen Serverdienste, die im Intranet angeboten werden sollen, im Internet jedoch nicht erreichbar sein sollen. Normalerweise kann man das jedoch bei der entsprechenden Software selber einstellen, an welchen Netzwerkinterfaces sie aktiv sein soll, so wie Zugriffslisten (ACLs) definieren. Sollte die Software diese Option nicht anbieten, sollte man sich überlegen, ob man möglicherweise die Software gegen ein anderes Produkt tauscht, welches diese Funktionalität bietet, an statt eine weitere Software zu installieren, die die Schwachstellen der ersten Software ausbügeln soll - und dabei wohlmöglich weitere Schwachstellen schafft.

Neue/aktualisierte Seiten