4. Firewall

Eine Firewall schützt Ihren Computer davor, ausgespäht zu werden. Sie überprüft, welche Daten und Programme aus dem Internet oder Netzwerk auf Ihren Rechner gelangen und welche Daten von Ihrem Computer gesendet werden.

Im Firewall-Modul stehen Ihnen drei Bereiche zur Verfügung:

  • Firewall Status: Im Status-Bereich der Firewall erhalten Sie grundlegende Informationen zum aktuellen Zustand Ihres Systems und der Firewall.
  • Firewall Netzwerke: Im Netzwerke-Bereich werden die Netzwerke (z.B. LAN, DFÜ etc.) aufgelistet, mit denen ihr Rechner verbunden ist.
  • Regelsätze: In diesem Bereich können Sie für verschiedene Netzwerke spezielle Regeln erstellen und damit das Verhalten Ihrer Firewall optimieren.

Sobald etwas darauf hindeutet, dass Daten auf Ihrem Rechner unberechtigt aufgespielt oder heruntergeladen werden sollen, schlägt die Firewall Alarm und blockt den unberechtigten Datenaustausch.

img1 Firewall: Über diese Schaltfläche oben rechts können Sie auf weitere Einstellungsdialoge der Firewall zugreifen.

4.1. Firewall Status

Im Status-Bereich der Firewall erhalten Sie grundlegende Informationen zum aktuellen Zustand Ihres Systems und der Firewall. Diese finden sich rechts vom jeweiligen Eintrag als Text- oder Zahlenangabe. Darüber hinaus wird der Status der Komponenten auch grafisch dargestellt. Durch doppeltes Anklicken des jeweiligen Eintrags können Sie hier direkt Aktionen vornehmen oder in den jeweiligen Programmbereich wechseln.

img2

Sobald Sie die Einstellungen einer Komponente mit Warnsymbol optimiert haben, wechselt das Symbol im Status-Bereich wieder auf das grüne Häkchen-Symbol.

  • Sicherheit: Während Sie den Computer für ihre tägliche Arbeit nutzen, lernt die Firewall nach und nach, welche Programme Sie für den Zugang zum Internet nutzen, welche nicht und welche Programme ein Sicherheitsrisiko sind. Abhängig davon, wie sehr sie sich in der Materie der Firewall-Technologie auskennen, können Sie die Firewall so konfigurieren, dass Sie Ihnen entweder einen sehr guten Basis-Schutz bietet, ohne viele Nachfragen zu stellen oder aber einen professionellen Schutz, der sich sehr genau an ihrem Computernutzungsverhalten ausrichtet, aber auch gewisse Kenntnisse von Ihnen als Anwender verlangt. Den Sicherheitsstatus können Sie hier einstellen Einstellungen_Firewall_Automatik.

  • Modus: Hier werden Sie darüber informiert, mit welcher Grundeinstellung Ihre Firewall gerade betrieben wird. Möglich wären hier entweder die manuelle Regelerstellung oder die Automatik (Autopilot).

    • Autopilot: Hier arbeitet die Firewall vollkommen autonom und hält Gefahren automatisch vom heimischen PC ab. Diese Einstellung bietet einen praktischen Rundum-Schutz und ist in den meisten Fällen empfehlenswert. Der Autopilot sollte standardmäßig eingeschaltet sein.
    • Weitere Einstellungen: Wenn Sie Ihre Firewall individuell konfigurieren möchten oder bestimmte Anwendungen nicht mit dem Autopilot-Modus zusammenarbeiten wollen, können Sie über die manuelle Regelerstellung Ihren Firewall Schutz ganz auf Ihre Bedürfnisse einrichten. Weitere Informationen erhalten Sie in folgendem Kapitel: Einstellungen_Firewall_Automatik.
  • Netzwerke: Hier können Sie sich die Netzwerke anzeigen lassen, in denen sich Ihr Computer befindet. Weitere Informationen erhalten Sie in folgendem Kapitel: Firewall Netzwerke.

  • Abgewehrte Angriffe: Sobald die Firewall einen Angriff auf Ihren Computer registriert, wird dieser verhindert und hier protokolliert. Sie können durch Anklicken des Menüpunktes weitergehende Informationen erhalten.

  • Anwendungs-Radar: Dieses Dialogfeld zeigt Ihnen, welche Programme momentan von der Firewall blockiert werden. Sollten Sie eine der blockierten Anwendungen doch die Erlaubnis für die Nutzung des Netzwerkes erteilen wollen, wählen Sie diese hier einfach aus und klicken dann die Schaltfläche Erlauben an.

img3

4.2. Firewall Netzwerke

Im Netzwerke-Bereich werden die Netzwerke (z.B. LAN, DFÜ etc.) aufgelistet, mit denen Ihr Rechner verbunden ist. Hier wird auch aufgezeigt, nach welchem Regelsatz (siehe Kapitel Regelsätze) das jeweilige Netzwerk geschützt wird. Wenn Sie das Häkchen vor dem jeweiligen Netzwerk entfernen, wird dieses vom Firewall-Schutz ausgenommen. Sie sollten den Schutz allerdings nur in begründeten Einzelfällen abschalten. Wenn Sie ein Netzwerk mit der Maus markieren und die Bearbeiten-Schaltfläche anklicken, können Sie die Firewall-Einstellungen für dieses Netzwerk einsehen bzw. verändern.

img4

4.2.1. Netzwerke Bearbeiten

Folgende Informationen und Einstellungsmöglichkeiten zum ausgewählten Netzwerk werden Ihnen in dieser Übersicht angezeigt:

img5

  • Netzwerk-Info: Hier erhalten Sie Informationen zum Netzwerk und - soweit vorhanden - Angaben zu IP-Adresse, Subnetzmaske, Standardgateway, DNS- und WINS-Server.
  • Firewall aktiv, auf diesem Netzwerk: Sie können die Firewall für das Netzwerk hier deaktivieren, sollten dies allerdings nur in begründeten Einzelfällen tun.
  • Gemeinsame Nutzung der Internet-Verbindung: Bei direkten Verbindungen mit dem Internet können Sie festlegen, ob alle Rechner im Netzwerk über einen mit dem Internet verbundenen Rechner Zugriff auf das Internet erhalten sollen oder nicht. Diese Internetverbindungsfreigabe (ICS) kann für ein Heimnetzwerk in der Regel aktiviert werden.
  • Automatische Konfiguration (DHCP) zulassen: Bei der Verbindung Ihres Computers mit dem Netzwerk wird eine dynamische IP-Adresse (über das DHCP = Dynamic Host Configuration Protocol) vergeben. Wenn Sie über diese Standardkonfiguration mit dem Netzwerk verbunden sind, sollten Sie das Häkchen hier gesetzt lassen.
  • Regelsatz: Sie können hier sehr schnell zwischen vorstrukturierten Regelsätzen wählen und auf diese Weise festlegen, ob es sich bezüglich der Überwachungskriterien der Firewall z. B. um ein vertrauenswürdiges, nicht vertrauenswürdiges oder zu blockierendes Netzwerk handelt. Mit der Schaltfläche Regelsatz bearbeiten haben Sie auch die Möglichkeit, die Regelsätze individuell zu konfigurieren. Lesen Sie hierzu bitte auch das Kapitel Regelsätze Erstellen.

4.3. Regelsätze

In diesem Bereich können Sie für verschiedene Netzwerke spezielle Regeln erstellen. Diese Regeln werden dann jeweils zu einem Regelsatz zusammengefasst. Voreingestellt sind Regelsätze für direkte Verbindung mit dem Internet, nicht vertrauenswürdige Netzwerke, vertrauenswürdige Netzwerke und zu blockierende Netzwerke. In der Übersicht wird der jeweilige Regelsatz mit Namen angezeigt. Mit Hilfe der Schaltflächen Neu, Löschen und Bearbeiten können Sie bestehende Regelsätze verändern, bzw. weitere Regelsätze hinzufügen.

img6

Die vorgegebenen Regelsätze für direkte Verbindung mit dem Internet, vertrauenswürdige Netzwerke, nicht vertrauenswürdige Netzwerke und zu blockierende Netzwerke können nicht gelöscht werden. Zusätzliche Regelsätze, die Sie selber erstellt haben, können Sie natürlich jederzeit löschen.

4.4. Regelsätze Erstellen

Sie können jedem Netzwerk einen eigenen Regelsatz (also eine Sammlung speziell darauf abgestimmter Regeln) zuweisen. Auf diese Weise können Sie Netzwerke mit unterschiedlichen Gefährdungsstufen unterschiedlich mit der Firewall absichern. So benötigt ein privates Heimnetzwerk möglicherweise weniger Schutz (und damit auch Administrationsaufwand), als ein DFÜ-Netzwerk, das im direkten Kontakt mit dem Internet steht.

img7

Darüber hinaus können Sie über die Neu-Schaltfläche auch eigene Regelsätze für Netzwerke erstellen. Klicken Sie dazu im Regelsätze-Bereich auf die Neu-Schaltfläche und legen in dem erscheinenden Dialogfenster folgendes fest:

img8

  • Regelsatz Name: Geben Sie hier einen aussagekräftigen Namen für den Regelsatz ein.
  • Einen leeren Regelsatz erzeugen: Hier können Sie einen vollkommen leeren Regelsatz erzeugen und diesen ausschließlich mit selbst definierten Regeln bestücken.
  • Einen Regelsatz erzeugen, der einige sinnvolle Regeln enthält: Bei dieser Auswahl können Sie entscheiden, ob beim neuen Regelsatz grundlegende Regeln für nicht vertrauenswürdige, vertrauenswürdige oder zu blockierende Netzwerke vordefiniert werden sollen. Auf Basis dieser Voreinstellungen können Sie dann individuelle Änderungen vornehmen.

Die Firewall beinhaltet voreingestellte Regelsätze für folgende Netzwerktypen:

  • direkte Verbindung mit dem Internet: Hierunter fallen Regeln, die den direkten Internetzugriff behandeln.
  • nicht vertrauenswürdige Netzwerke: Hierunter fallen in der Regel offene Netzwerke, wie z.B. DFÜ-Netzwerke, die auf das Internet Zugriff haben.
  • vertrauenswürdige Netzwerke: Vertrauenswürdig sind in der Regel Heim- und Firmennetzwerke.
  • zu blockierende Netzwerke: Wenn zeitweise oder dauerhaft der Kontakt des Rechners zu einem Netzwerk blockiert werden soll, kann diese Einstellung verwendet werden. Dies macht z.B. Sinn bei der Verbindung mit fremden Netzwerken, über deren Sicherheitsstandard man sich nicht ganz im Klaren ist (z.B. auf LAN-Partys, fremden Firmennetzwerken, öffentlichen Arbeitsplätzen für Notebooks etc.)

Der neue Regelsatz erscheint nun im Regelsätze-Bereich unter dem jeweiligen Regelsatznamen (z.B. Neuer Regelsatz) in der Liste. Wenn Sie nun auf Bearbeiten klicken, öffnet sich - je nach Einstellung, die Sie unter Einstellungen | Sonstiges (siehe Einstellungen_Firewall_Sonstiges) getroffen haben - der Regelassistent oder der erweiterten Bearbeitungsmodus zum Bearbeiten der einzelnen Regeln dieses Regelsatzes. Wie Sie in den Regelsätzen neue Regeln vergeben, lesen Sie in den Kapiteln Regelassistenten Verwenden bzw. Erweiterten Bearbeitungsmodus Verwenden.

Neben der direkten Eingabe von Regeln haben Sie natürlich noch die Möglichkeit über die Info-Box des Firewall-Alarms Regeln zu erstellen. Dieser Lernprozess der Firewall wird Ihnen im Kapitel Firewall-Alarm erläutert.

4.4.1. Regelassistenten Verwenden

Mit dem Regelassistenten können Sie bestimmte zusätzliche Regeln für den jeweiligen Regelsatz definieren oder bestehende Regeln ändern. Gerade für Anwender, die sich nicht gut mit der Firewall-Technologie auskennen, ist der Regelassistent dem erweiterten Bearbeitungsmodus vorzuziehen.

img9

Mit dem Regelassistenten verändern Sie eine oder mehrere Regeln in dem jeweils ausgewählten Regelsatz. Sie erstellen also immer eine Regel innerhalb eines Regelsatzes, der verschiedene Regeln beinhaltet.

Abhängig davon, welchen Regelsatz Sie für das jeweilige Netzwerk definiert haben, kann eine Anwendung in dem einen Regelsatz (z.B. für nicht vertrauenswürdige Netze) gesperrt sein, in dem anderen Regelsatz (z.B. für vertrauenswürdige Netze) vollen Netzzugriff haben. So könnten Sie z.B. einen Browser mit entsprechend unterschiedlichen Regeln so beschränken, dass er wohl auf Seiten zugreifen kann, die in ihrem Heimnetzwerk bereitstehen, aber keine Möglichkeit hat, auf Inhalte aus dem DFÜ-Netzwerk zuzugreifen.

Der Regelassistent stellt Ihnen folgende Basisregeln zur Verfügung:

  • Anwendungen freigeben oder sperren: Hiermit können Sie gezielt eine Anwendung (ein Programm) auf Ihrer Festplatte auswählen und ihm explizit den Zugriff auf das über den Regelsatz definierte Netzwerk erlauben oder verbieten. Wählen Sie im Assistenten dazu einfach das gewünschte Programm aus (Programmpfad) und geben Sie dann unter Richtung an, ob das Programm für eingehende Verbindungen, ausgehende Verbindungen oder sowohl ein-, als auch ausgehende Verbindungen gesperrt werden soll. Auf diese Weise können Sie z.B. ihre MP3-Player-Software daran hindern, Daten über Ihre Hörgewohnheiten weiterzugeben (ausgehende Verbindungen) oder dafür sorgen, dass nicht automatisch Programmupdates aufgespielt werden (eingehende Verbindungen).
  • Netzwerkdienste freigeben oder sperren: Als Port werden spezielle Adressbereiche bezeichnet, die über ein Netzwerk übermittelte Daten automatisch an ein bestimmtes Protokoll und darüber an bestimmte Software weiterleiten. So wird z.B. die Übermittlung von regulären Webseiten über den Port 80 abgewickelt, E-Mail-Versand über den Port 25, E-Mail-Abholung über Port 110 usw. Ohne Firewall stehen an Ihrem Computer generell alle Ports offen, obwohl die meisten von normalen Anwendern gar nicht benötigt werden. Über das Sperren eines oder mehrerer Ports können deshalb schnell Lücken geschlossen werden, die sonst von Hackern für Angriffe genutzt werden könnten. Im Assistenten haben Sie die Möglichkeit Ports komplett zu sperren oder aber auch nur für eine bestimme Anwendung (z.B. Ihre MP3-Abspielsoftware).
  • Datei-/Druckerfreigabe: Wenn Sie den Zugriff erlauben, erhalten Sie die Möglichkeit, freigegebene Ordner und Drucker im Netzwerk zu nutzen. Gleichzeitig können auch andere Computer und Benutzer im Netzwerk auf Ihre Freigaben (sofern eingerichtet) zugreifen.
  • Domänendienste freigeben oder sperren: Eine Domäne ist eine Art Gliederungsverzeichnis für Computer in einem Netzwerk und ermöglicht damit eine zentralisierte Verwaltung der im Netzwerk eingebunden Rechner. Freigaben für Domänen-Dienste in nicht vertrauenswürdigen Netzen sollten in der Regel verweigert werden.
  • Gemeinsame Nutzung der Internetverbindung: Bei direkten Verbindungen mit dem Internet können Sie festlegen, ob alle Rechner im Netzwerk über einen mit dem Internet verbundenen Rechner Zugriff auf das Internet erhalten sollen oder nicht. Diese Internetverbindungsfreigabe kann für ein Heimnetzwerk in der Regel aktiviert werden.
  • VPN-Dienste freigeben oder sperren: VPN ist die Abkürzung für Virtual-Private-Networks und bezeichnet die Möglichkeit Rechner exklusiv miteinander zu koppeln und quasi eine Direktverbindung zwischen diesen herzustellen. Damit VPN-Dienste funktionieren können, müssen Sie von der Firewall freigegeben werden.
  • Erweiterter Regelsatzeditor (Expertenmodus): Hiermit können Sie vom Regelassistenten zum erweiterten Bearbeitungsmodus wechseln. Informationen zum erweiterten Bearbeitungsmodus erhalten Sie im Kapitel Erweiterten Bearbeitungsmodus Verwenden.

4.5. Erweiterten Bearbeitungsmodus Verwenden

Im erweiterten Bearbeitungsmodus können Sie - gewisse Kenntnisse in Netzwerksicherheit vorausgesetzt - sehr individuelle Regeln für das jeweilige Netzwerk definieren. Dabei können natürlich sämtliche Regeln erzeugt werden, die Sie auch über den Regelassistenten erzeugen können, aber auch darüber hinaus weitergehende Einstellungen vorgenommen werden.

img10

Folgende Einstellungsmöglichkeiten stehen Ihnen hier zur Verfügung:

  • Name: Hier können Sie den Namen für den aktuellen Regelsatz gegebenenfalls verändern. Unter diesem Namen wird der Regelsatz dann in der Liste im Regelsätze-Bereich angezeigt und kann mit den dort von der Firewall identifizierten Netzwerken kombiniert werden.
  • Stealth-Modus: Mit dem Stealth-Modus (engl.: verborgen, heimlich) werden Anfragen an den Computer, die dazu dienen, die Erreichbarkeit der jeweiligen Ports zu überprüfen nicht beantwortet. Dies erschwert Hackern, auf diese Weise Informationen über das System zu erhalten.
  • Aktion, falls keine Regel zutrifft: Hier können Sie festlegen, ob der Zugriff im Netzwerk generell erlaubt, verweigert oder auf Nachfrage geregelt werden soll. Sollten durch die Lernfunktion der Firewall für einzelne Programme Sonderregeln definiert sein, werden diese natürlich berücksichtigt.
  • Adaptiv-Modus: Der Adaptiv-Modus unterstützt Sie bei Anwendungen, die die sogenannte Rückkanal-Technik verwenden (z.B. FTP und viele Online-Spiele). Solche Anwendungen verbinden sich mit einem entfernten Rechner und handeln mit ihm einen Rückkanal aus auf dem sich der entfernte Rechner mit Ihrer Anwendung zurückverbindet. Ist der Adaptiv-Modus aktiv, so erkennt die Firewall diesen Rückkanal und lässt ihn zu ohne gesondert nachzufragen.

4.5.1. Regeln

In der Liste der Regeln finden Sie sämtliche Regeln, die für diesen Regelsatz definiert wurden. So können hier z.B. ausgewählten Programmen umfangreiche Netzzugriffe gestattet werden, obgleich das Netzwerk an sich als nicht vertrauenswürdig definiert wird. Die Regeln, die hier einfließen, können auf verschiedene Weise erzeugt worden sein:

Jeder Regelsatz hat natürlich eine eigene Liste mit Regeln.

Da die Firewall-Regeln teilweise hierarchisch verschachtelt sind, ist es in manchen Fällen wichtig, die Rangfolge bei den Regeln zu beachten. So kann es sein, dass eine Freigabe für einen Port durch die Verweigerung eines Protokollzugriffs wieder blockiert werden kann. Sie können den Rang einer Regel in der Abfolge ändern, indem Sie diese mit der Maus markieren und dann über die Pfeiltasten unter Rang in der Liste hinauf- oder hinab bewegen.

img11

Wenn Sie eine neue Regel über den erweiterten Bearbeitungsmodus erstellen oder eine bestehende Regel über den Bearbeiten-Dialog verändern, erscheint der Regel bearbeiten Dialog mit folgenden Einstellungsmöglichkeiten:

  • Name: Hier findet sich bei voreingestellten und automatisch generierten Regeln der Programm-Name für den die jeweilige Regel zutrifft.
  • Regel aktiv: Sie können eine Regel durch Entfernen des Häkchens inaktiv setzen, ohne sie gleich zu löschen.
  • Kommentar: Hier erfahren Sie, auf welche Weise die Regel erzeugt wurde. Bei für den Regelsatz voreingestellten Regeln steht Voreingestellte Regel, bei Regeln, die sich aus dem Dialog aus dem Firewall-Alarm ergeben steht per Nachfrage generiert und für Regeln, die Sie selber über den erweiterten Bearbeitungsmodus generieren, können Sie einen eigenen Kommentar einfügen.
  • Verbindungs-Richtung: Mit der Richtung wird definiert, ob es sich bei dieser Regel um eine Regel für eingehende, ausgehende oder ein- und ausgehende Verbindungen handelt.
  • Zugriff: Hier wird eingestellt, ob für das jeweilige Programm innerhalb dieses Regelsatzes der Zugriff erlaubt oder verweigert werden soll.
  • Protokoll: Hier können Sie auswählen, welchen Verbindungsprotokollen Sie einen Zugriff erlauben oder verwehren wollen. Dabei haben Sie die Möglichkeit, Protokolle generell zu sperren oder freizugeben oder die Verwendung des Protokolls mit der Nutzung einer bestimmten Anwendung oder mehrerer Anwendungen zu koppeln (Anwendungen zuordnen). Genauso können Sie die unerwünschten bzw. erwünschten Ports über die Schaltfläche Internet-Dienst zuordnen genau definieren.
  • Zeitfenster: Sie können den Zugriff auf Netzwerkressourcen auch zeitabhängig gestalten und so z.B. dafür sorgen, dass ein Zugriff nur zu Ihren Arbeitszeiten und nicht außerhalb dieser Zeiten erfolgt.
  • IP-Adressraum: Gerade für Netzwerke mit fest vergebenen IP-Adressen macht es Sinn, deren Nutzung über eine Beschränkung des IP-Adressraumes zu reglementieren. Ein klar definierter IP-Adressraum verringert die Gefahr eines Hackerangriffs deutlich.