Desktop-Firewalls

Nicht nur Benutzer von festen und xDSL-Verbindungen, sondern auch fleissige Surfer mit ISDN und analogen Verbindungen laufen durchaus das Risiko, von ungebetenen Gästen besucht zu werden. Zwar werden Private und KMU weniger von eigentlichen Hackern heimgesucht, dafür gehören diese Gruppen typischerweise zu den Opfern der sogenannten Script-Kiddies, also Jugendlichen, die im Internet ein Hacker-Werkzeug herunterladen und dieses dann an willkürlichen Opfern ausprobieren.

Glücklicherweise kann man sich solchen Unfug weitgehend vom Leibe halten. Während Firewalls noch vor kurzer Zeit kostspielige Installationen für Grossunternehmen waren, gibt es unterdessen eine ganze Reihe von Schutzmauer-Produkten, die sich an Private und KMU wenden. Wir haben fünf dieser Personal Firewalls miteinander verglichen.

Unterschiedliche Schutzmechanismen

Die ersten Firewalls arbeiteten mit Packet Filtering, einer Technologie, die mit Hilfe eines Regelsatzes nur den Datenverkehr zwischen bekannten und vertrauenswürdigen Rechnern erlaubt. Diese Technologie schmolz mit der eines Application Proxy zusammen, wobei ein Application Proxy alle Anfragen an Hosts stellvertretend für den Client erledigt.

In der Stateful Inspection, der neuesten Technologie, die bei den meisten Enterprise-Firewalls zum Einsatz kommt, werden Sessionen auf dem Niveau des Network Layer überwacht.

Bei der Konfiguration einer Firewall lassen sich grundsätzlich zwei Ansätze unterscheiden: Entweder ist die Firewall am Anfang komplett geöffnet, und jeder Netzwerkverkehr, der nicht erlaubt sein soll, wird gesperrt. Oder umgekehrt: Die Firewall ist zu Beginn geschlossen, und nur die wirklich benötigten Dienste werden explizit zugelassen.

Letztere Methode ist natürlich sicherer, erfordert aber gleichzeitig, dass die Konfiguration öfters neu übergangen werden muss, beispielsweise wenn neue Bedürfnisse entstehen oder neue Internet-Dienste verwendet werden sollen.

Soho-Firewalls auf dem Prüfstand

Wir haben uns in diesem Test auf fünf der bekanntesten Lösungen beschränkt. Dabei handelt es sich um Norton Personal Firewall 2000, McAfee Firewall, eSafe Desktop, BlackIce Defender sowie ZoneAlarm. Daneben gibt es aber noch eine ganze Reihe anderer Produkte (vgl. Kasten "Weitere persönliche Firewalls" in der Print-Ausgabe auf Seite 19).

Was die Technologie der geprüften Firewalls anbelangt, so basieren die meisten Produkte auf einer Mischung von Packet Filtering und Application Proxy, während Stateful Inspection in dieser Produkteklasse höchstens ansatzweise vorhanden ist.

Um die Konfiguration der persönlichen Firewalls zu erleichtern, enthalten alle Produkte eine Reihe vordefinierter Sicherheitsstufen. Nach der Installation wird normalerweise eine "halboffene", mittlere Sicherheitsstufe verwendet, die den Bedürfnissen der meisten User entsprechen soll.

Norton Personal Firewall 2000

Wie alle Produkte aus der Norton-Familie zeichnet sich Norton Personal Firewall 2000 durch ein benutzerfreundliches Design aus. Grundsätzlich schützt die Norton Personal Firewall den PC in den Bereichen Sicherheit und Datenschutz, wobei beide Aufgabenkreise individuell zugeschaltet werden können. Für die Bereiche sind drei vordefinierte Sicherheitsstufen möglich. Die Abteilung Sicherheit lässt sich wiederum in drei Unterbereiche aufteilen. Dabei handelt es sich um die eigentliche Firewall sowie den Schutz vor Java-Applets und ActiveX-Controls, der jeweils in hoch, mittel und niedrig eingestuft werden kann.

Im Bereich Datenschutz umfassen die Unterkategorien das Senden von vertraulichen Informationen und Cookies. Ausserdem können frei definierbare Informationen wie beispielsweise Kontennummern oder PIN-Codes als vertraulich "gestempelt" werden. Damit wird verhindert, dass diese Informationen von aussen abgefragt werden können oder versehentlich gesendet werden.

Während diese Einstellungen zwar benutzerfreundlich, aber doch eher rudimentär sind, verbirgt sich hinter der Schaltfläche Optionen eine Reihe von Funktionen für fortgeschrittene Anwender. Beispielsweise können eine Verbindungsstatistik und das Ereignisprotokoll angezeigt werden. Vor allem aber lassen sich die einzelnen Regeln im Register Erweiterte Optionen detailliert redigieren und testen.

Insgesamt bietet Norton Personal Firewall 2000 sowohl gute Sicherheit als auch Flexibilität für Anfänger wie technisch versierte Benutzer. Norton Personal Firewall ist zudem in einer deutschen Version erhältlich.

McAfee Firewall 2.11

Die Firewall von McAfee ist in der Bedienung weitgehend transparent. Nach der Installation kann man dazu Stellung nehmen, ob der Verkehr offen, blockiert oder gefiltert sein soll. Ebenfalls hat man die Möglichkeit, die Firewall für bestimmte Applikationen zu konfigurieren. Allerdings werden die meisten Programme automatisch von McAfee Firewall erkannt und auf Wunsch mit dem Internet verbunden.

Die Bedienung respektive Überwachung der Firewall geschieht von einem Monitorfenster aus, das die Aktivitäten für die verschiedenen Protokolle und Applikationen anzeigt.

Für die verschiedenen Netzwerkschnittstellen (Netzwerkkarten, Modems) kann ausserdem der Verkehr auf der Ebene der einzelnen Protokolle geregelt werden. Trotz dieser nützlichen Funktion erweist sich die McAfee Firewall hier als nicht besonders flexibel.

Was die Sicherheit anbelangt, erfüllt die Firewall von McAfee jedoch ihren Zweck - wie auch bei Nortons Personal Firewall sind hier die Schotten absolut dicht.

eSafe Desktop 2.2

Einen etwas anderen Ansatz als die übrigen Programme verfolgt eSafe Desktop von Aladdin Knowledge Systems. Das Programm gliedert sich in die folgenden drei Teile: Sandbox, Firewall und Virusschutz. Während Virusschutz selbsterklärend ist, bedarf der Begriff Sandbox eher einer Erläuterung: Eine Sandbox ist ein geschützter Bereich, der beliebigen Programmen zugeordnet werden kann. Damit soll verhindert werden, dass feindlicher Programmcode, verbreitet etwa als trojanische Pferde oder Scripts, Einfluss auf das gesamte System nehmen kann.

Vor allem interessiert hat uns natürlich die eigentliche Firewall. Auf den ersten Blick kann man angesichts der vorinstallierten Regelprofile den Eindruck bekommen, dass es bei der Firewall von eSafe Desktop in erster Linie darum geht, den Benutzer vor sich selber zu schützen. Die Profile reichen von der Filterung von Sexsites über rassistische Ausdrücke bis hin zu spanischen Fluchwörtern.

Natürlich kann man mit eSafe Desktop ausser Content Filtering auch Packet Filtering auf Grund von Protokollen und Host-Adressen vornehmen. Der dazu zu verwendende Regeleditor wäre an und für sich von ganz brauchbarer Qualität, weist aber klare Mängel bezüglich der vordefinierten Regeln und Protokolle auf. Selbst wenn die bei Hackern beliebten Ports manuell geschlossen wurden, konnten wir die Firewall mit dem Portscanning-Tool nmap dennoch überlisten.

Mit anderen Worten, ein PC lässt sich mit eSafe Desktop nicht gegen böswillige Eingriffe von aussen sichern. Statt dessen beschützt das Programm den User vor dem Herunterladen von riskanten und/oder unerwünschten Inhalten.

Dafür gehören die Dokumentation, ein 220 Seiten langes PDF-Dokument, sowie eine deutsche Benutzerführung zu den Vorzügen von eSafe Desktop.

BlackIce Defender 2.1

Obwohl BlackIce Defender durchaus auch Firewall-Funktionalität besitzt, liegen die wahren Stärken des Programms in der Aufdeckung von Angriffsversuchen. BlackIce verfügt über vier vordefinierte Sicherheitsstufen: vertrauensvoll, vorsichtig, nervös und paranoid. Nur in der paranoiden Einstellung ist der PC einigermassen sicher, wobei bei dieser Einstellung auch einige Internet-Dienste abgeblockt werden, die verschiedene User benötigen.

In solchen Fällen lässt sich das Problem zwar unter Umständen umgehen, indem der betreffende Server auf die Liste der Hosts gesetzt wird, denen man vertraut. Das ändert aber wenig daran, dass man sich etwas mehr Flexibilität bei der Konfiguration wünschen würde.

Dagegen eignet sich BlackIce Defender vorzüglich zur Intrusion Detection. Ausführlich und in Echtzeit kann man mitansehen, was ein eventueller Eindringling gerade tut. Hervorragend ist auch die advIce-Funktion, welche auf der Homepage des Herstellers derartige Angriffsversuche erläutert.

Neben der Echtzeit-Analyse kann BlackIce Defender die Angriffe natürlich auch in Log-Dateien abspeichern, die man in besonders groben Fällen seinem Internet-Provider oder den Strafverfolgungsbehörden vorlegen kann.

ZoneAlarm 2.1.44

Beinahe ebenso bunt wie bei eSafe Desktop geht es bei ZoneAlarm zu und her. Im Funktionsumfang ist ZoneAlarm jedoch eher mit der McAfee Firewall zu vergleichen.

Die Bedienung des Programms konzentriert sich auf eine Reihe von Icons und Schaltflächen. Beim Klicken auf einen der fünf Buttons entrollt sich ein Dialogfenster, in welches jeweils die entsprechenden Parameter eingegeben werden können.

Ähnlich wie bei der McAfee Firewall muss auch hier für jede Internet-Applikation einzeln grünes Licht gegeben werden, bevor die Verbindung geöffnet wird. Allerdings können bei ZoneAlarm Internet-Anwendungen für Intranet und Internet getrennt konfiguriert werden, und die Erlaubnis lässt sich für beide Zonen sowohl permanent als auch nur temporär für die aktuelle Session erteilen.

Auch kennt ZoneAlarm verschiedene Sicherheitsstufen für den Intranet- und Internet-Zugang. Unter den erweiterten Optionen lässt sich die Intranet-Zone durch Angabe von IP-Adressen oder Netzwerkmasken noch genauer definieren, aber die Konfiguration der Sicherheit mit Hilfe von eigentlichen Regeln ist für die Internet-Zone leider auch hier nicht möglich.

Dafür bietet ZoneAlarm analog zu BlackIce Defender eine gute Funktion zur Echtzeit-Analyse des Geschehens, wobei zu eventuellen Angriffsversuchen auch hier weitere Informationen auf der Homepage des Herstellers zu finden sind.

Eine Kuriosität von ZoneAlarm ist der Notschalter, mit dem jegliche Internet-Verbindung augenblicklich abgebrochen werden kann, wenn der PC von fremden Eindringlingen angegriffen wird. Ein wenig mehr Sinn - vor allem bei xDSL-Verbindungen - macht hingegen die Möglichkeit, die Verbindung nach einer Anzahl inaktiver Minuten automatisch abzubrechen.

Wenn man sich auch bei ZoneAlarm durchaus etwas mehr Flexibilität bezüglich der Firewall-Regeln wünschen würde, ist das Programm doch leicht zu bedienen und weist eine Reihe wirklich einzigartiger Features auf.