Firewalls: Hacker-Angriffe abwehren

Eine Firewall hält Angriffe von außen ab und meldet verdächtige Aktionen scheinbar harmloser Programme, die unbemerkt Ihre Sicherheit von innen gefährden.

Man muss nicht paranoid sein, um beim ungeschützten Surfen ein mulmiges Gefühl zu haben. Seit dem massiven Befall von Windows-PCs mit Würmern wie Blaster oder Sasser und dem gezielten Ausspähen von Daten sind die Gefahren für jeden einzelnen Nutzer ganz konkret geworden. Dieser Beitrag zeigt Ihnen, an welchen Stellen Ihr Computer verwundbar ist und wie eine Firewall diese Schwachstellen sichert.

Der erste Schritt eines Hack-Angriffs ist meist die Lokalisierung eines Opfers. Die

wird über die IP-Adresse vorgenommen, die Ihr Computer bei der Einwahl von Ihrem Provider temporär zugewiesen bekommt. Nachdem die Bereiche der IP-Nummern großer Provider bekannt sind, kann ein Angreifer beispielsweise einfach alle T-Online-Adressen abgrasen.

Das geschieht in der Regel über einen Ping. Das ist eines der grundlegenden Mittel zur Funktionsprüfung der Internet-Verbindung zwischen zwei Systemen und beinhaltet wenig mehr als „hallo – bist du da?“. Erhält der Hacker eine positive Rückmeldung, dann kann er mit dem Scannen der Ports fortfahren.

Sperrt die Firewall den Ping-Mechanismus, dann sieht es für die Gegenseite so aus, als sei Ihre IP-Adresse derzeit nicht belegt und der Hacker wird wahrscheinlich mit seiner Prüfung bei der nächsten Adresse fortfahren.

Es gibt allerdings noch eine andere Methode zur Feststellung einer aktiven IP-Adresse. Denn wenn ein Programm Verbindung mit einem unbelegten Port eines anderen Computers aufnehmen will, dann meldet der zurück „Verbindung abgelehnt“. Das ist für den Angreifer genauso gut wie eine Ping-Antwort. Denn diese Negativantwort bedeutet, dass hier ein System prinzipiell kommunikationsbereit ist – er muss eben nur noch herausfinden, wie man es knackt.

Alle Firewalls, wie zum Beispiel auch die im Service Pack 2 von Windows XP enthaltene, beherrschen die Abblockung der Anfragen von Port-Scannern.

Alles dreht sich um Ports

Ein wichtiges Element der Internet-Kommunikation ist das Konzept der "Ports". Die kann man sich wie eine Art nummerierte Steckdosenleiste vorstellen – nur dass sie nicht für Strom, sondern für den Datenfluss konzipiert sind.

An jeder der gedachten Dosen, verabreden sich Programme, um einen bestimmten Dienst zu betreiben. Ein Mailserver etwa trägt sich hier an der "Dose Nummer 110" ein, die dem Protokoll „POP3“ zugewiesen ist. Kommt nun ein E-Mail-Clientprogramm wie Outlook an und möchte kommunizieren, flanscht es seinen Kommunikations-Kanal an dieser Verbindungsstelle an und der Datenaustausch zwischen dem Mail-Anbieter und dem Mail-Nutzer kann stattfinden.

Die Zuweisung der Portnummer zu den einzelnen Dienste ist dabei standardisiert, so dass jedes Internet-System beispielsweise weiß, dass der Port 20 für die Übertragung von Daten per FTP vorgesehen ist. Die Zuordnung der Ports zu den einzelnen Diensten findet man übrigens auf jedem Betriebssystem. Sie ist in der Datei "services" zu finden, die im Windows-Unterverzeichnis \drivers\etc bzw. auf Linux-Computern im Verzeichnis /etc abgelegt ist.

Das Wissen über die Port-Belegung machen sich so genannte Portscanner zunutze. Das sind Hacker-Tools, die alle häufig verwendeten Ports eines Computers der Reihe nach durchprobieren – in der Hoffnung, einen Port zu finden, der reagiert. Denn dies bedeutet, dass sich dahinter ein kommunikationswilliges Programm befindet. Im schlimmsten Fall verbirgt sich hinter dem belegten Port ein direkt nutzbarer Dienst, wie etwa eine ungesicherte Netzwerk-Freigabe. Dann ist der Angreifer schon am Ziel angelangt, und hat Zugang zu Ihren Daten.

Aber auch ein in Grunde harmloser Dienst kann Gefahren in sich bergen. Denn es werden ja ständig neue Hintertürchen in Windows entdeckt, die einem Hacker Zutritt zu Ihrem System oder die Möglichkeit zum Daten-Vandalismus bieten. So verhalf eine Sicherheitslücke in Microsofts RPC-Dienst (Port 135) dem Blaster-Wurm zu seiner rasanten Verbreitung, die im Gegensatz zu Email-Viren nicht auf das Zutun der Nutzer angewiesen war. Ein verwundbarer PC wurde so in Sekundenbruchteilen selbst zum Verbreiter des Wurms.

Gegen diese Gefahren von außen hilft die Überwachung der Ports. Je nach Einstellung einer Firewall wird dabei entweder jede Kommunikation blockiert, die nicht von Ihnen ausdrücklich erlaubt wurde oder die Firewall informiert Sie über den von außen kommenden Wunsch zum Verbindungsaufbau und überlässt Ihnen die Entscheidung, ob dies erwünscht ist.

Ein gutes Programm kommt sogar mit einer Liste bekannter Missbrauch-Ports daher,

so dass Sie nicht mit der schwer zu beantwortenden Frage „Darf xy per Port 1234 auf Ihr System zugreifen?“ konfrontiert werden. Stattdessen erscheint die klare Alarmmeldung „Soeben wurde ein Blaster-Angriff abgewiesen!“.

Eindringlinge erkennen

Anders als bei einem aktivierten Virus mit Schadroutine ist bei einem Trojanischen Pferd noch nicht alles verloren, auch wenn es bereits seine Arbeit aufgenommen hat. Denn um seine Aufgabe zu vollenden, egal ob es dabei um die Fernsteuerung Ihres Systems oder das Ausspähen von Passwörtern geht, muss es immer zuerst eine Verbindung mit der Außenwelt aufnehmen.

Ein von sich aus aktiv werdender Trojaner, der etwa gerade Ihre Online-Kennwörter auf dem Server eines Datendiebes ablegen will, muss genauso den Weg über einen Port nehmen. Auch wenn er sich dabei eines ansonsten für „friedliche“ Zwecke benutzen Ports bedient oder zufällig einen beliebigen auswählt, so dass er nicht sofort enttarnt wird, kann eine Firewall darauf reagieren. Denn in allen üblichen Programmen, die über einen Port-Wächter verfügen, lässt sich der Zugriff zumindest über den Programmnamen festlegen. Kennt man die genannte Anwendung nicht, ist Vorsicht angesagt. Detailliertere Regeln als lediglich „xy.exe darf ins Internet“ und damit besseren Schutz bieten die Tools, bei denen auch die Portnummer mit einbezogen wird. Wenn also ein Programm namens OUTLOOK.EXE an Port 4711 mit einem Ihnen unbekannten System reden möchte, dann ist sicher Vorsicht angebracht, auch wenn Outlook eine ansonsten unverdächtige Anwendung ist.

Firewall-Varianten

Eine Firewall kann ganz unterschiedlich aussehen. Im einfachsten Fall handelt es sich dabei um ein Zusatztool in Form einer Software oder wie im Fall der Fireall von Windows XP SP2 sogar als Teil des Betreibssystems selbst.

In größeren Firmen haben sich dagegen Standalone-Geräte bewährt, die zwischen dem internen Netzwerk und der Außenwelt platziert werden und sich ganz spezialisiert nur nur um die Aufgabe der Überwachung kümmern.

Aber schon ein ISDN- oder DSL-Router, der mehreren Computern gemeinsamen Internet-Zugriff über einen einzigen Internet-Account ermöglicht, bietet ein Grundmaß an Sicherheit. Damit ist diese Zugangsart einem Einzel-PC, mit dem man per ISDN-Karte oder Modem ins Netz geht, deutlich überlegen.

Der Grund dafür liegt in dem Mechanismus, der die an den Router angeschlossenen Computer gegenüber dem Internet wie ein einziges System aussehen lässt. Initiiert einer der Computer im internen Netz eine Internet-Verbindung, registriert der Router dies, um die Antwortpakete aus dem Internet wieder korrekt diesem Computer zuordnen zu können.

Dieses Verfahren, „IP-Masquerading“, „Network Address Translation“ oder kurz NAT genannt, setzt aber voraus, dass jede Datenverbindung vom Netzwerk aus aufgebaut wird. Versucht dagegen ein Hacker von außen einen Datenkanal aufzubauen, wird er einfach abgewiesen, weil der Router nicht weiß, an welchen der internen Stationen er die Anforderung weiterleiten soll.

Lediglich wenn man am Router gezielt einen bestimmten Port aktiviert und einem der angeschlossenen Stationen zuweist, dann funktioniert so eine extern aktivierte Kommunikation. Nützlich kann das beispielsweise dann sein, wenn man zu Testzwecken einen Webserver betreiben möchte.

Trotz der sozusagen nebenbei mit der Router-Technik ausgelieferten Firewall-Funktion schützt ein Router aber keineswegs gegen alle Gefahren aus dem Internet. Viren, bösartige Mail-Attachments oder Trojanische Pferde können trotzdem Unheil bringen. Bei einem Trojaner steckt die Fähigkeit zum Überspringen der Feuerwand schon in seinem Funktionsprinzip: Wird er aktiviert und startet den Verbindungsaufbau zu seiner Gegenstelle, sieht das für den Router genauso aus, als wenn jemand mit einem Browser surft oder E-Mail abruft. Daß es sich dabei um eine für die Sicherheit der Benutzer vielleicht tödliche Kontaktaufnahme handelt, kann er nicht erkennen. Dagegen hilft nur die rigorose Methode, am Router alle Ports zu sperren und nur diejenigen explizit zu erlauben, die man unbedingt benötigt.

Firewall als Diagnosehilfe

Für viele Fälle ist ein aktiver automatischer Verbindungsaufbau zum Internet per Modem oder ISDN sinnvoll, etwa wenn nachts selbständig Downloads oder Dateisynchronisationen laufen sollen. Allerdings hat man dann keinerlei Möglichkeit festzustellen, welche laufenden Anwendungen oder Teile des Betriebssystems zu einer Anwahl führen. Auch wenn Sie nicht planen, eine Firewall-Software einzusetzen, sollten Sie so ein Tool wenigstens testweise installieren um sämtlichen Aktivitäten zu ermitteln. Da es einige kostenlose Personal Firewalls gibt, ist dies ja kein Problem.

Zum Testen stellen Sie die Sicherheitsstufe des Schutzprogramms ganz gering ein, so dass der Zugriff nicht blockiert wird. Achten Sie aber darauf, dass der Logging-Mechanismus der Software sämtliche Anfragen mitprotokolliert. Ist der Computer dann beispielsweise 24 Stunden lang gelaufen, lassen Sie das Ereignis-Log anzeigen und prüfen alle Verbindungen zum Internet. Sind darunter welche, die Ihnen nichts nutzen sondern eher Gefahren in sich bergen oder einfach nur unnötig Gebühren kosten, dann deaktivieren Sie entweder die entsprechende Software oder installieren die Firewall dauerhaft. Je nach verwendetem Firewall-Programm und Art der Anwendung sollten Sie daraufhin den gesamten Online-Zugriff der allzu kommunikativen Anwendung unterbinden, lediglich den dabei verwendeten Port sperren oder für die Nachtzeit eine Regel anlegen, die keine automatische Anwahl zulässt.