Zusammenfassung aus dem Ursprungsthread zur folgenden Frage: Was ist ein Proxy?
Ein Proxy beschreibt eine bestimmte Art der Kommunikation im Netz.
Das läßt sich am Besten anhand der folgenden Analogie erklären:
Freunde kommen zu Besuch. Ihr wollt etwas essen und Du verfasst zunächst eine Liste der Bestellungen. Dann rufst Du den Pizzaservice an, gibst die Bestellung durch, nimmst das Packet an der Tür entgegen und reichst die Pizzen danach an Deine Freunde weiter. Auf unser Beispiel bezogen, hast Du Dich wie ein Proxy verhalten: Du hast stellvertretend für Deine Freunde den Kontakt mit dem Pizzaservice aufgenommen. Und Du hast das Paket stellvertretend für Deine Freunde an der Tür entgegengenommen, um die Pizzen später anhand der Liste an Deine Freunde zu verteilen. Der Pizzabote mag sich zwar denken, daß Du all die Pizzen nicht alleine verdrücken wirst, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren. Für Ihn bist einzig und alleine Du der Ansprechpartner (der Proxy - zu deutsch: ein Stellvertreter).
So arbeitet eine Netzwerkkomponente, welche im Proxymodus läuft:
Dein System richtet seine Netzwerkanforderung nicht direkt an das Zielsystem, sondern geht über den Proxy, welcher stellvertretend für Dein System die Verbindung zum Zielsystem aufnimmt:
Die Pakete können vom Proxy analysiert und gefiltert werden, noch bevor sie Dein System erreichen. Zudem sieht das Zielsystem nicht den Client, sondern nur den Proxy, was dazu führt, dass mögliche Angriffe aus dem externen Netz auf den Proxy gerichtet sind und nicht direkt den Client treffen.
Für mehr Informationen dazu siehe in der “Firewall FAQ für Fortgeschrittene“. Dort wird auch erklärt, warum ein „DSL-Router“ kein Router ist, sondern ein Porxy und wie es zu dem irreführenden Begriff „DSL-Router“ kam...
Zusammenfassung zum Thema: Der „VPN Pass-Through“-Modus einer Firewall kurz erklärt.
Sobald man von seinem PC aus eine VPN-Sitzung über eine externe Firewall hinweg aufbaut, so hat die Firewall ein Problem: Der VPN-Server muß in der Lage sein, von sich aus eine eigene (Rück-) Verbindung zu diesem PC aufzubauen. Das passiert abhängig vom VPN-Protokoll über einen bestimmten Port und gehört zum Sicherheitskonzept von VPN. Das Besondere: Der VPN-Rückkanal-Port unterscheidet sich von dem Port, auf dem der PC die Verbindung aufgebaut hat. Somit ist das aus Sicht der Firewall keine Verbindung mehr, welche vom PC angefordert wurde. Da die Firewall sämtliche Verbindungsversuche blockiert, welche von aussen angefordert werden, kommt die Verbindung also nicht zustande.
Das Problem mit Port-Forwarding lösen - und damit ein neues Problem schaffen
Nun könnte man per Port-Forwarding-Regel der Firewall beibringen, dass der vermeintliche Rückkanal-Port mit einem PC aus dem gesicherten Netz verbunden wird. Somit wird der Verbindungsversuch nicht mehr blockiert, sondern direkt zum PC weitergereicht. Das würde auch funktionieren, jedoch hat das den Nachteil, dass immer nur dieser eine PC in der Lage ist, eine VPN-Verbindung zu einem Server aus dem Internet herzustellen. Einen Fehler in der VPN-Software oder eine entsprechende Malware vorausgesetzt, ist der PC auch dann aus dem externen Netz heraus über den Port erreichbar (und ggf. angreifbar), wenn er gar keine VPN-Verbindung angefordert hat.
Die Lösung: „VPN Pass-Through“
Die Lösung für beide Probleme heißt „VPN Pass-Through“ und bewirkt, dass ein beliebiger PC, welcher den VPN-Tunnel anfordert, automatisch die Port-Zuweisung auf der Firewall erhält. Nachdem die VPN-Sitzung beendet wurde, verliert der PC die Portzuweisung wieder. So kann der nächste PC aus demselben internen Netz einen VPN-Tunnel aufbauen, sobald die andere VPN-Sitzung geschlossen wurde.
An dieser Stelle sei noch einmal deutlich unterstrichen, dass auch mit „VPN Pass-Through“ pro VPN-Typ immer nur ein einziger PC eine VPN-Sitzung aufbauen kann. Der VPN-Typ bezieht sich auf das verwendete Protokoll (einige Firewalls bieten „VPN Pass-Through“ z.B. für IPSec und PPTP an).
Zusammenfassung zum Thema: Die Trennung zwischen dem Firewall-Modul und den erweiterten Features einer Desktop-Firewall schafft Klarheit …
Eine Desktop Firewall besteht aus einem Firewallmodul und in der Regel aus erweiterten Funktionalitäten. Die Funktion einer Firewall (genauer des Firewallmoduls) besteht nicht darin, Angriffe zu erkennen und zu verhindern. Vielmehr dient das Firewallmoduls dazu, ausschließlich auf der Ebene des Netzwerkprotokolls bestimmte Kommunikationsbeziehungen basierend auf dem Port, dem verwendeten Protokoll, sowie der Absender- und Zieladresse zu erlauben oder zu unterbinden. Für weitere Aufgaben sind die erweiterten Funktionalitäten einer Desktop Firewall zuständig, welche beispielsweise den Zugriff einzelner Programme auf das Netzwerk verwalten, Autostarteinträge überwachen, per Sandbox die Datei- und Systemzugriffe der Prozesse einschränken oder Netzwerkangriffe erkennen und nach Malware suchen. Sie sind zwar Bestandteil vieler Produkte und erweitern auf ihre Weise das eigene Sicherheitskonzept der jeweiligen Desktop Firewall, jedoch gehören sie nicht zum Konzept einer konventionellen Firewall.
Gelegentlich wird unter Netzwerkfachleuten Argumentiert, dass selbst das Firewallmodul einer Desktop Firewall streng genommen keine Firewall ist, da eine Firewall ihrem Ursprung nach als eigenständige Netzwerkeinheit zwischen zwei Netzwerken operiert, die sie miteinander verbindet und filtert. Eine Desktop Firewall läuft dagegen direkt auf dem Gerät, deren Kommunikation sie filtern soll, und verbindet keine Netzwerke miteinander. Demgegenüber schreibt z.B. Elisabeth D. Zwicky (ISBN 3-89721-169-6, 2001, S. 34): „Die Welt ist voll von Leuten, die darauf bedacht sind, Ihnen weiszumachen, daß etwas keine Firewall ist. […] Wenn es dazu gedacht ist, die bösen Jungs von Ihrem Netzwerk fernzuhalten, dann ist es eine Firewall. Wenn es erfolgreich die bösen Jungs fernhält, ist es eine gute, wenn nicht, ist es eine schlechte Firewall. Das ist alles, was es dazu zu sagen gibt.“
Die erweiterten Funktionalitäten einer Desktop Firewall laufen zum Teil fernab des Netzwerkprotokolls und gehören zu einem ergänzenden Sicherheitskonzept des PCs. Es ist hilfreich, die erweiterten Funktionalitäten losgelöst vom Firewallmodul zu betrachten, denn ohne diese Trennung lässt sich die Funktionsweise einer Desktop Firewall nicht vernünftig aufschlüsseln. Infolgedessen würde ein Versuch, Desktop Firewalls miteinander zu vergleichen, nicht unerheblich erschwert.
Zusammenfassung zum Thema: Die erweiterten Features einer Desktop-Firewall -> das (Network- / Host-Based-) IDS (Intrusion Detection System)
Das IDS (Intrusion Detection System) soll die Lücke der Angriffserkennung einer Firewall ausfüllen.
Network-Based-IDS
Hier wird der Netzwerkverkehr auf Indizien für Angriffe überprüft. So werden u.a. die Datenpakete auf verdächtige Inhalte untersucht und so Portscans, DoS-Versuche (wie SYN-Floodings) und Kontaktversuche zu eventuell installierten Backdoors erkannt.
Host-Based-IDS
Ein Host-Based-IDS läuft auf dem PC oder Server und überprüft die Integrität eines Computersystems. Leider ist nicht festgeschrieben, welche Sicherheitsmaßnahmen ein solches System vereinen muss, um als IDS betitelt zu werden.
Vernünftiger Weise sollte ein Host-Based-IDS wichtige Systemeinstellungen überprüfen, Dateien nach Hackersignaturen scannen und bestimmte Angriffsmuster überwachen. Mit anderen Worten vereint ein gutes IDS einen Malwarescanner, ein Systemanalysetool für Autostarteinträge nebst wichtigen Systemeinstellungen, sowie Protokollierungsmechanismen, einen Scriptscanner der sämtliche Systemskripte und Office-Makros vor dem Ausführen auf schädliche Aktivitäten hin untersucht, und ein Überwachungsmodul für Programmzugriffe.
Zudem sollten die Vorgänge zentral ausgewertet und im günstigsten Fall bei einem erkannten Angriff Gegenmaßnahmen ergriffen werden. Dank der Protokollierungsmechanismen wird es einem Eindringling schwerer fallen, auf einem System mit Host-Based-IDS seine Spuren zu verwischen.
Das Network-Based-IDS ist das einzige erweiterte Feature, welches auch auf einer externen Firewall vorkommen kann. Im Unterschied dazu arbeitet jedoch ein Network-Based-IDS einer Desktop-Firewall Hand in Hand mit dem Host-Based-IDS zusammen, was dazu führt, dass sich Angriffsversuche besser erkennen lassen. Der Nachteil dieser Methode ist, dass sie nicht selten viel zu oft falschen Alarm schlagen und damit den Anwender unnötig verschrecken.
Technischer Hinweis: Bei einem IDS einer Desktopfirewall unterscheidet man nicht zwischen einem IDS und einem IRS (Intrusion Respone System), wie es bei externen Firewalls der Fall ist. Das IDS-Konzept einer Desktopfirewall entspricht also vielmehr einem IPS (Intrusion Prevention System).
Zusammenfassung zum Thema: Die erweiterten Features einer Desktop-Firewall -> die Netzwerkzugriffe einzelner Programme kontrollieren
Auch die Kontrolle, ob ein Programm auf das Netzwerk zugreifen darf oder nicht, gehört nicht zum Firewallmodul. Vielmehr handelt es sich hierbei um ein erweitertes Feature der Desktopfirewall, welches auf einer Prozesskontrolle basiert.
Die meisten Desktopfirewalls unterstützen dieses Feature. Einige Desktopfirewalls ermöglichen es sogar, dass sich zudem bestimmen lässt, unter welchen Umständen die Applikation auf das Netz zugreifen darf (z.B. nur wenn Prozess XYZ (nicht) gestartet ist, etc.) und welche Art des Zugriffs erlaubt ist (Applikation darf als Serverprozess fungieren - also selbst auf Anfragen aus dem Netz reagieren - oder lediglich eigene Verbindungen aufbauen).
Tatsächlich könnte man dieses Feature als Teil eines IDS verstehen. Da es aber nur einen sehr kleinen Teil eines vollwertigen IDS ausmacht, kann sich eine Desktopfirewall, welche lediglich dieses eine Feature anbietet, kaum eines IDS rühmen. Aus diesem Grund wurde die Prozesskontrolle separat betrachtet.
Hinweis: Der auch bei einigen externen Firewalls verwendete Begriff "Application Level Firewall" (kurz ALF) hat nichts mit dem Feature der Applikationszugriffskontrolle zu tun. Vielmehr basiert der Name "Application Level" auf dem gleichnamigen OSI-Layer. Von einer grundsätzlichen Möglichkeit der Prozesszugriffskontrolle kann man also auch bei einer so betitelten, externen Firewall nicht sprechen. Diese ist tatsächlich den lokal installierten Dektopfirewalls vorbehalten.
Zusammenfassung zum Thema: Die erweiterten Features einer Desktop-Firewall -> die Systemzugriffe einzelner Programme mit einer Sandbox einschränken und überwachen
Zu den erweiterten Features einiger weniger Desktop-Firewalls gehört eine so genannte Sandbox (zu deutsch: Sandkasten). Wird ein Programm aus der Sandbox heraus gestartet, so lassen sich die Programmzugriffe auf bestimmte Verzeichnisse und Dateien begrenzen und zudem der Eingriff in die Systemeinstellungen unterbinden. Das Ganze funktioniert sogar unabhängig von der Rechteverwaltung des Betriebssystems. Es ist also selbst unter Win9x möglich, eine Sandbox zu nutzen.
Zusammenfassung zum Thema: Gibt es Hardware-Firewalls?
Es gibt keine Firewalls, die ausschließlich auf Hardware basieren. Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware. Bei einer Firewall handelt es sich immer um eine Software.
Der etwas ungünstig gewählte Begriff Hardwarefirewall wird daher als Synonym für externe Firewalls verwendet. Er soll lediglich zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der ausschließlich die Firewallsoftware läuft (es werden dort keine anderen Dienste bereitgestellt).
In all den Punkten, in denen sich die Funktionalitäten einer Desktop Firewall mit denen einer externen Firewall gleichen, ist die externe Firewall zuverlässiger. Sie bietet in der Regel eine für Angriffe unempfindlichere Plattform, da sie auf einem eigenen System läuft, welches sich ausschließlich der Firewallfunktionalität widmet. Da sie keine anderen Dienste anbietet, basiert ein derart spezialisiertes Gerät meistens auf ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physikalischen Trennung zum Computer nicht so einfach manipuliert werden kann.
Auf der einen Seite erweitert der direkte Zugriff auf das zu überwachende System die Möglichkeiten einer Desktop Firewall ungemein, was sich in den erweiterten Funktionalitäten widerspiegelt, während auf der anderen Seite auch der Malware wesentlich mehr Mittel und Wege zur Verfügung stehen, diese Software zu manipulieren und zu umgehen. Die lokale Installation einer jeden Systemüberwachungssoftware (das gilt auch für Virenscanner, etc.) ist somit Segen und Fluch zugleich. Als Folge davon wirkt der vollmundig beworbene „Schutzwall“ bildlich gesehen wie ein Zaun von maximal einem Meter Höhe, der zwar ein durchaus vorhandenes, aber gewiss kein unüberwindbares Hindernis für eine Malware darstellt.
Weder eine konventionelle externe Firewall, noch eine Desktopfirewall stellen einen Sicherheitsmechanismus dar, der nicht über kurz oder lang überwunden werden kann. Bestenfalls lässt sich die Barriere zu einer großen Herausforderung für einen Eindringling gestalten, wobei die Sicherheitsbarrieren einer Desktopfirewall unbestritten die wesentlich kleineren Herausforderungen darstellen. Allerdings sind viele ihrer Barrieren auf einer externen Firewall schlicht nicht vorhanden, weshalb die im Internet oft zu lesende Empfehlung, stattdessen eine externe („Hardware-“) Firewall einzusetzen, keine wirkliche Lösung bietet.
Unerwünschte Zugriffe des eigenen Rechners auf das Internet kann eine externe Firewall kaum verhindern, denn sie wurde für eine solche Aufgabe nicht konzipiert; ihre Regeln sind nicht Applikationsgebunden. Dagegen kann eine Desktop Firewall neben ihren erweiterten Funktionalitäten auch mit Regeln für die Kommunikation innerhalb des internen Netzes aufwarten. Sie nimmt daher zusätzliche Aufgaben wahr, welche das Konzept einer konventionellen externen Firewall ergänzen (aber nicht ersetzen!). Aus diesem Grund kann es durchaus einen Sinn ergeben, die Desktop Firewall einzusetzen, obwohl bereits eine externe Firewall installiert wurde.
Zusammenfassend lässt sich sagen: Im Vergleich zu einer externen Firewall ist die Desktop Firewall nicht besser oder schlechter, sondern vor allem anders.
AW: künftige Firewall FAQ für Laien 
Linear-Darstellung
