M 5.91 Einsatz von Personal Firewalls für Internet-PCs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Die Entwicklung der als Personal Firewalls bezeichneten Produktlinie ist auf die Absicherung der lokalen Ressourcen eines Clients zugeschnitten. Als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet sind Personal Firewalls ungenügend. Der alleinige Einsatz dieser Firewalls bringt folgende Nachteile mit sich:

• Alle ans Internet angeschlossenen Clients müssen gehärtet werden, d. h. die potentiellen Schwachstellen des Betriebssystems müssen behoben werden.
• Wie bei jeder dezentral eingesetzten Software ist das Management und die Auswertung der Protokolldaten der einzelnen Personal Firewalls aufwendig.

Derzeit verfügbare Produkte weisen hier noch einen erheblichen Optimierungsbedarf auf. Vom Hersteller angebotene Sicherheitsprofile bieten hier eine praktikable Konfigurationsmöglichkeit.

Als Ergänzung zu einer zentralen Firewall kann der Einsatz von Personal Firewalls durchaus sinnvoll sein. Prinzipiell ist es z. B. möglich, mit ihnen die Prüfung auf Schadsoftware, die über E-Mail, Java, ActiveX oder ähnliche Mechanismen übertragen werden kann, auf den Clients vorzunehmen. Hierfür können Mechanismen wie Sandboxes zum Einsatz kommen, mit denen der Zugriff von Applikationen, die vom Internet auf das lokale System übertragen werden (Java, ActiveX, etc.), eingeschränkt werden kann. Mit ihnen wird die Aufgabe der Prüfung auf Schadsoftware dezentralisiert und damit das Firewall-System entlastet. Ein weiterer Vorteil liegt darin, dass die Problematik der Filterung von verschlüsselten Daten auf der Firewall umgangen werden kann.

Der Einsatz einer Personal Firewall bietet sich insbesondere bei Internet-PCs an, d. h. auf Computern, die ausschließlich für die Nutzung des Internets bereitgestellt werden und keine Verbindung zum Behörden- bzw. Unternehmensnetz haben. Aufgrund des vielfältigen Funktionsumfangs dieser Produkte und der Komplexität der Technologie muss dabei jedoch eine kompetente Administration sichergestellt sein.

Bei Konfiguration und Betrieb einer Personal Firewall sollten folgende Aspekte berücksichtigt werden:

• Die Filterregeln sollten so restriktiv wie möglich eingestellt werden. Dabei gilt der Grundsatz: Alles was nicht ausdrücklich erlaubt ist, ist verboten.
• Um dem Missbrauch von NETBIOS-Funktionen entgegenzuwirken, sollten Zugriffe vom Internet auf die IP-Ports 137 bis 139 und 445 gesperrt werden, falls die verwendete Personal Firewall dies ermöglicht.
• Die Filterregeln der Personal Firewall sollten nach der erstmaligen Konfiguration daraufhin getestet werden, ob die erlaubten Ereignisse zugelassen und unerlaubte Ereignisse unterbunden werden.
• Die korrekte Konfiguration der Filterregeln sollte in sporadischen Abständen überprüft werden, wenn die Installation des Internet-PCs nicht ohnehin regelmäßig gelöscht und anhand eines Festplatten-Abbildes (Images) erneut aufgespielt wird.
• Falls das verwendete Produkt diese Möglichkeit bietet, sollten die Regeln der Personal Firewall auch speziellen Programmen zugeordnet werden. Dadurch kann unter Umständen erkannt und verhindert werden, dass ein anderes als die vorgesehenen Client-Programme Verbindungen zu Rechnern im Internet aufbaut oder annimmt.
• Da viele der Prüfmechanismen einer Personal Firewall auf aktuellen Erkenntnissen beruhen, müssen vom Hersteller veröffentlichte Patches bzw. Updates regelmäßig eingespielt werden. Dabei ist sicherzustellen, dass die dafür erforderlichen Dateien von einer vertrauenswürdigen Quelle, beispielsweise direkt vom Hersteller, bezogen werden.
• Die Personal Firewall muss so konfiguriert werden, dass die Benutzer nicht durch eine Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können.
• Falls das verwendete Produkt diese Möglichkeit bietet, sollten sicherheitsrelevante Ereignisse protokolliert werden. Die Protokolldaten sollten regelmäßig durch fachkundiges Personal ausgewertet werden. Die Hinweise in M 2.110 Datenschutzaspekte bei der Protokollierung sind zu beachten.

Einige Produkte verfügen über die Möglichkeit, mit einer sehr restriktiven Grundkonfiguration zu starten und danach die Einstellungen im laufenden Betrieb zu verfeinern. Dabei wird jedes Mal, wenn ein sicherheitsrelevantes Ereignis auftritt, für das bisher noch keine eindeutige Regel existiert, der Benutzer gefragt, ob dieses Ereignis zulässig ist. Ein Beispiel für ein solches sicherheitsrelevantes Ereignis ist der Zugriff eines bestimmten installierten Programms auf das Internet. Auf der Grundlage der Antworten des Benutzers ermittelt die Personal Firewall Schritt für Schritt die gewünschte Konfiguration, z. B. die Filterregeln.

Der Vorteil dieser inkrementellen Konfiguration ist, dass dadurch die Komplexität der Administration reduziert werden kann. Nachteilig ist jedoch, dass Benutzer in der Regel nicht ohne weiteres beurteilen können, ob ein bestimmtes Ereignis zulässig ist oder nicht. Die inkrementelle Konfiguration der Personal Firewall kann daher nur dann empfohlen werden, wenn den Benutzern entweder präzise Vorgaben gemacht werden, wie sie auf Rückfragen des Programms antworten sollen oder wenn dies unter Anleitung eines Administrators, z. B. durch telefonische Rückfragen, erfolgt.

Personal Firewalls werden inzwischen von einer Vielzahl von Herstellern angeboten. Zum Teil ist der Einsatz für private Anwender sogar kostenlos. Im kommerziellen oder behördlichen Umfeld müssen jedoch in der Regel Lizenzen erworben werden. Personal Firewalls werden häufig in Fachzeitschriften getestet. Die Ergebnisse dieser Tests können bei der Auswahl eines für den vorliegenden Einsatzzweck geeigneten Produkts helfen.

Ergänzende Kontrollfragen:

• Existiert ein Konzept für den Einsatz von Personal Firewalls?
• Werden vom Hersteller veröffentlichte Patches bzw. Updates zur Behebung sicherheitsrelevanter Schwachstellen installiert?

Stand: Stand 2005