M 5.91 Einsatz von Personal Firewalls für Clients

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Personal Firewalls kontrollieren und unterbinden Zugriffe auf Clients über angebundene IT -Netze bzw. von Clients auf diese Netze. Je nach Art des Netzdienstes und der Richtung des Verbindungsaufbaus kann von der Personal Firewall des Client ein Kommunikationsaufbau gestattet oder abgewiesen werden. Eine Personal Firewall könnte beispielsweise so konfiguriert sein, dass alle Verbindungen, die von dem Client aufgebaut werden, erlaubt und alle von außen ankommenden Anfragen blockiert werden.

Personal Firewalls können nach unterschiedlichen Prinzipien arbeiten:

Viele Betriebssysteme beinhalten bereits eine Personal Firewall. Diese braucht oft nur aktiviert werden und je nach Betriebssystem stehen unterschiedlich umfangreiche Funktionen zur Verfügung. Zusätzlich werden von diversen Drittherstellern Sicherheitslösungen ("Security Suite") angeboten, die unter anderem eine Personal Firewall beinhalten. Oft sind die im Betriebssystem integrierten Personal Firewalls im Gegensatz zu den Sicherheitslösungen weniger umfangreich und unkomfortabler. Dafür können diese bordeigenen Lösungen sofort aktiviert werden und es entstehen keine zusätzlichen Kosten für die Beschaffung. Wenn eine Personal Firewall eingesetzt werden soll, ist zu entscheiden, ob die bordeigene Personal Firewall oder eine Lösung von einem Dritthersteller eingesetzt werden soll, auf einen Mischbetrieb sollte verzichtet werden.

Einsatzumgebungen

Als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet sind Personal Firewalls ungenügend. Der alleinige Einsatz von Personal Firewalls bringt folgende Nachteile mit sich:

Es sollte geprüft werden, auf welchen Clients und mit welchen Rahmenbedingungen eine Personal Firewall eingesetzt werden soll. Da Clients in einem LAN durch ein Sicherheitsgateway geschützt werden, kann auf den Einsatz von Personal Firewalls auf den Clients in der Regel verzichtet werden. Bei einem höheren Schutzbedarf sollte der Einsatz von Personal Firewalls geprüft werden.

Mobile genutzte IT-Systeme wie Laptops sollten unbedingt durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz geschützt werden, wenn sie direkt an das Internet angeschlossen werden.

Ebenso sollten auf Internet-PCs, d. h. Computern, die ausschließlich für die Nutzung des Internets bereitgestellt werden und keine Verbindung zum Behörden- bzw. Unternehmensnetz haben, Personal Firewalls installiert sein.

Aufgrund des vielfältigen Funktionsumfangs der verschiedenen Varianten von Personal Firewalls und deren Komplexität muss dabei jedoch eine kompetente Administration sichergestellt sein, die Benutzer sollten sie weder selber konfigurieren müssen noch die Einstellungen ändern dürfen.

Personal Firewalls als Bestandteil einer Sicherheitslösung (Security Suite)

Personal Firewalls werden inzwischen von einer Vielzahl von Herstellern angeboten. Zum Teil ist der Einsatz für private Anwender sogar kostenlos. Im kommerziellen oder behördlichen Umfeld müssen jedoch in der Regel Lizenzen erworben werden. Personal Firewalls werden häufig in Fachzeitschriften getestet. Die Ergebnisse dieser Tests können bei der Auswahl eines für den vorliegenden Einsatzzweck geeigneten Produkts helfen.

Als Ergänzung zu einem zentralen Sicherheitsgateway (Firewall) kann der Einsatz von Personal Firewalls als Teil einer Sicherheitslösung durchaus sinnvoll sein. Prinzipiell ist es z. B. bei umfangreichen Sicherheitslösungen von Drittherstellern, die eine Personal Firewall beinhalten, möglich, mit ihnen die Prüfung auf Schadsoftware, die über E-Mail, Java, ActiveX oder ähnliche Mechanismen übertragen werden kann, auf den Clients vorzunehmen. Hierfür können Mechanismen wie Sandboxing eingesetzt werden, mit denen der Zugriff von Applikationen, die vom Internet auf das lokale System übertragen werden (Java, ActiveX, etc.), eingeschränkt werden kann. Mit diesen oft umfangreichen Sicherheitslösungen wird die Aufgabe der Prüfung auf Schadsoftware dezentralisiert und damit das Firewall-System entlastet. Ein weiterer Vorteil liegt darin, dass die Problematik der Filterung von verschlüsselten Daten auf der Firewall umgangen werden kann.

Konfiguration

Bei Konfiguration und Betrieb einer Personal Firewall sollten folgende Aspekte berücksichtigt werden:

Einige Produkte verfügen über die Möglichkeit, mit einer sehr restriktiven Grundkonfiguration zu starten und danach die Einstellungen im laufenden Betrieb zu verfeinern. Dabei wird jedes Mal, wenn ein sicherheitsrelevantes Ereignis auftritt, für das bisher noch keine eindeutige Regel existiert, der Benutzer gefragt, ob dieses Ereignis zulässig ist. Ein Beispiel für ein solches sicherheitsrelevantes Ereignis ist der Zugriff eines bestimmten installierten Programms auf das Internet. Auf der Grundlage der Antworten des Benutzers ermittelt die Personal Firewall Schritt für Schritt die gewünschte Konfiguration, z. B. die Filterregeln.

Der Vorteil dieser inkrementellen Konfiguration ist, dass dadurch die Komplexität der Administration reduziert werden kann. Nachteilig ist jedoch, dass Benutzer in der Regel nicht ohne Weiteres beurteilen können, ob ein bestimmtes Ereignis zulässig ist oder nicht. Die inkrementelle Konfiguration der Personal Firewall kann daher nur dann empfohlen werden, wenn den Benutzern entweder präzise Vorgaben gemacht werden, wie sie auf Rückfragen des Programms antworten sollen oder wenn dies unter Anleitung eines Administrators, z. B. durch telefonische Rückfragen, erfolgt.

Prüffragen: