Microsoft-Anwendung schützt Clients und mobile Computer Vista-Firewall als Teil der Internet-Security in Unternehmen

Autor / Redakteur: Manuela Reiss / Stephan Augsten

Windows Vista bringt eine Firewall mit, die gegenüber ihrer Vorgängerin in Windows XP einige Verbesserungen und Neuerungen bietet. Besonders für Heimanwender stellt sie damit eine kostenlose Alternative zu Produkten anderer Hersteller dar. Information Security zeigt Ihnen, ob und mit welcher Konfiguration der Einsatz der integrierten Firewall von Windows Vista auch in Firmen-Netzwerken sinnvoll ist.

Anbieter zum Thema

Bei der in Windows integrierten Firewall handelt es sich um eine Personal-Firewall (auch als Desktop-Firewall bezeichnet), die Netzwerkverkehr auf dem Rechner gezielt blockieren kann.

In der neuesten Version, die in Windows Vista und im „Longhorn“-Server integriert ist, wird dabei nicht nur die Blockierung von eingehendem, sondern auch von ausgehendem Netzwerkverkehr unterstützt.

Im Gegensatz zur Netzwerk-Firewall wird aber nicht der Verkehr zwischen zwei Netzwerken gefiltert, sondern nur der Netzwerkverkehr zwischen dem Rechner, auf dem sie läuft, und dem Netzwerk, in dem sich der Rechner befindet.

Personal-Firewall kontra Netzwerk-Firewall

Zwar wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzung einer Personal-Firewall als eine empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet. Gleichzeitig betont das BSI aber, dass als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet Personal-Firewalls ungenügend sind.

Da eine Personal-Firewall keine eigenständige Netzwerkeinheit darstellt, besteht das Problem, dass das Hacken der Firewall-Software selbst bereits vollständigen Zugang zum zu schützenden System bietet. Weiterhin sprechen die folgenden Punkte gegen den Einsatz einer Personal-Firewall als alleinige Schutzmaßnahme:

  • Alle ans Internet angeschlossenen Client-Rechner müssen individuell geschützt und konfiguriert werden, was einen erheblichen administrativen Aufwand mit sich bringt.
  • Die Protokolldaten der einzelnen Personal-Firewall liegen ausschließlich dezentral vor. Es gibt also keine Möglichkeit die aktuelle Gefährdungslage des Netzwerkes zentral zu überwachen.

Als Bestandteil eines Gesamtkonzepts geeignet

Doch vielleichicht ist der ausschließliche Einsatz der in Vista integrierten Firewall für die meisten Unternehmen nicht zu empfehlen. Dann stellt sich die Frage, ob der zusätzliche Einsatz einer Personal-Firewall auf Rechnern innerhalb eines Unternehmensnetzwerks Sinn macht, das bereits durch eine Netzwerk-Firewall geschützt ist.

Generell gilt, dass eine Firewall nie allein auf die Anwendung beschränkt ist, sondern immer Bestandteil eines Sicherheitskonzepts sein muss. Der Einsatz von Personal-Firewalls kann dabei durchaus Bestandteil eines solchen Konzepts sein. So ist es beispielsweise erforderlich, mobile Rechner und Rechner, die remote beispielsweise über VPN auf das Netzwerk zugreifen, auch außerhalb des Unternehmensnetzwerks abzusichern.

Hier stellt das Endgerät das schwächste Glied in der Kette dar und dieses gilt es möglichst gut zu schützen. Für diesen Zweck leistet die in Windows Vista integrierte und damit kostenlose Firewall gute Dienste. Wie diese zu konfigurieren ist, wird im Folgenden erläutert.

Für Rechner, die ausschließlich innerhalb eines geschützten Unternehmensnetzwerks genutzt werden, ist der Einsatz der integrierten Firewall jedoch kritisch zu hinterfragen und in der Regel nur im Einzelfall erforderlich.

Mehr Flexibilität durch die neue Konsole

Wie viele Administratoren erfahren mussten, hat die Vorgängerversion der Windows-XP-Firewall aufgrund ihrer starren Vorgaben oft notwendige Zugriffe blockiert und damit die Produktivität behindert, was häufig dazu führte, dass sie deaktiviert wurde.

Aus diesen Fehlern hat Microsoft gelernt. Die Firewall von Windows Vista ist deutlich flexibler und an individuelle Anforderungen anpassbar. Zwar ähneln die im Sicherheitscenter angezeigten Funktionen der Firewall noch weitgehend der Vorgängerin, aber unter der Haube steckt viel Neues.

Öffnet man beispielsweise die neue Konsole zur Verwaltung der erweiterten Firewall-Sicherheit, bieten sich zahlreiche neue Möglichkeiten, eine komplexe Konfiguration der Firewall durchzuführen. Dabei lassen sich nun die lokale Konfiguration und die Gruppenrichtlinien-Konfigurationseinstellungen für die Firewall in der gleichen Konsole bearbeiten.

Hervorzuheben ist auch, dass der Administrator jetzt auch auf Remote-Rechnern Einstellungen konfigurieren kann, was bei der Vorgängerversion nicht möglich war. Am einfachsten erreicht man die Konsole „Windows-Firewall mit erweiterter Sicherheit“ durch Eingabe des Befehls wf.msc im Suchfeld des Startmenüs.

Administration mithilfe der Kommandozeile

Alternativ zur Konsole kann die „Windows-Firewall mit erweiterter Sicherheit“ auch mit dem Befehlszeilenprogramm NETSH verwaltet werden. Der Befehl „netsh advfirewall“ stellt beispielsweise eine Reihe von Unterbefehlen bereit, mit denen die Einstellungen der Firewall konfiguriert und der Status überwacht werden können.

Mit dem Befehl „netsh ipsec“ lassen sich unter anderem Verbindungssicherheitsregeln definieren. Mithilfe von Skripts kann die Konfiguration damit außerdem automatisiert erfolgen.

Paketfilter sind die Basis

Die Basis einer jeden Personal-Firewall bilden die Paketfilter. Diese ermöglichen es, eingehende oder ausgehende Datenpakete nach vorgegebenen Regeln zu blockieren. Zusätzlich können Filterkriterien wie Quell- und Zieladresse, Protokoll, Quell- und Zielport konfiguriert werden.

Die Firewall von Windows Vista kann alle IPv4- und IPv6-Pakete prüfen und filtern. Eingehender Datenverkehr wird dabei standardmäßig blockiert, sofern es sich nicht um erwünschten Datenverkehr handelt, d.h. um eine Antwort auf eine Anforderung des Rechners oder um ausdrücklich in einer Firewall-Regel zugelassenen Datenverkehr. Grundlegende Ports, wie zum Beispiel die Netzwerkerkennung, sind hierbei standardmäßig geöffnet.

Die Möglichkeit der Kontrolle des ausgehenden Datenverkehrs gehört zu den Neuerungen der Firewall bei Windows Vista. Damit soll verhindert werden, dass Anwendungen vertrauliche Daten – möglicherweise sogar an anderen Schutzmechanismen vorbei, nach „draußen“ senden. Ursprünglich hatte Microsoft geplant, auch ausgehenden Datenverkehr standardmäßig zu verhindern. Diese Absicht wurde aber verworfen, da das Blocken ausgehender Datenpakete nicht unproblematisch ist.

Zwar ist es grundsätzlich wünschenswert, nur Datenverkehr von Anwendungen zuzulassen, die für die Erledigung von Aufgaben benötigt werden. Aufgrund der Programmvielfalt ist eine Unterscheidung zwischen gewünschten und problematischen Anwendungen aber schwierig. So kann die automatische Suche nach Updates für einige Anwendungen durchaus erwünscht sein, für andere aber nicht. Die meisten Netzwerk-Firewalls verwenden hierfür eine Datenbank, in der die für bekannte Software passenden Regeln verwaltet werden.

Zusammenfassend verhält sich die Firewall von Windows Vista standardmäßig folgendermaßen:

  • Sie blockiert jeglichen eingehenden Netzwerkverkehr – es sei denn, er geht auf Anfrage ein oder eine Ausnahme ist konfiguriert.
  • Sie lässt ausgehenden Netzwerkverkehr zu, solange auf diesen keine konfigurierte Ausnahme zutrifft.

Profilgesteuerte Konfiguration

Eine wichtige Komponente, insbesondere zur Absicherung mobiler Unternehmensrechner, bilden die Firewall-Profile. Diese erlauben es, dass Rechner abhängig vom Aufenthaltsort unterschiedliche Konfigurationen verwenden. Implementiert sind drei Profile, von denen jeweils nur ein Profil angewendet wird:

  • Domäne: Dieses Profil wird verwendet, wenn der Computer Mitglied einer Domäne ist und mit einem Netzwerk verbunden ist, in dem sich sein Domänenkonto befindet.
  • Privat: Dieses Profil wird verwendet, wenn ein Computer mit einem privaten Netzwerk verbunden ist (in dem sich sein Domänenkonto nicht befindet), beispielsweise in einem Heimnetzwerk. Da in diesem Fall der Schutz der Unternehmens-Netzwerk-Firewall fehlt, sollten die Einstellungen des privaten Profils deutlich restriktiver sein, als die des Domänenprofils.
  • Öffentlich: Dieses Profil wird angewendet, wenn ein Computer über das öffentliche Netzwerk mit einem Netzwerk verbunden ist, beispielsweise über einen öffentlichen WLAN-Zugang. Die Einstellungen des öffentlichen Profils sollten die stärksten Einschränkungen aufweisen, da in diesem Fall die Gefährdungslage am größten ist.

Welches Profil angewendet wird, hängt davon ob, wo der Computer jeweils angeschlossen ist.

Die Konfiguration der Firewall im Überblick

Im Folgenden stellen wir als Überblick die wichtigsten Schritte vor, die bei der Konfiguration eines Profils zu durchlaufen sind. Exemplarisch werden hierbei die sinnvollen Einstellungen für einen mobilen Unternehmensrechner betrachtet.

Zunächst einmal ist festzulegen, ob ein- bzw. ausgehende Verbindungen grundsätzlich blockiert werden sollen. Hierzu wählen Sie im Kontextmenü von WINDOWS FIREWALL MIT ERWEITERTER SICHERHEIT die Option EIGENSCHAFTEN. Dies öffnet die in Bild 2 gezeigte Dialogbox, in der für jedes Profil getrennt festgelegt werden kann, ob ein- und/oder ausgehender Datenverkehr zugelassen oder geblockt wird.

Für ausgehende Verbindungen in den Profilen „Privat“ und „Domäne“ ist die Standardeinstellung ZULASSEN meist die richtige Wahl. Für das öffentliche Profil hingegen, ist die restriktivere Einstellung BLOCKEN sinnvoll. In den Einstellungen der Profile kann u.a. noch festgelegt werden, ob bei blockierten eingehenden Verbindungen eine Benachrichtigung angezeigt werden soll, was standardmäßig der Fall ist.

Leider gibt es keine entsprechende Benachrichtigungsoption für die blockierten ausgehenden Verbindungen. Greift ein Programm auf das Netzwerk zu, welches durch nicht vorhandene Regeln geblockt wird, so wird der Anwender nicht informiert und muss dies selbstständig feststellen. Dieser Umstand muss beim Blocken ausgehender Verbindungen unbedingt berücksichtigt werden, will man nicht die Supportanfragen drastisch in die Höhe treiben.

Im nächsten Schritt sind die erforderlichen Regeln zu definieren. Die Firewall verwendet zwei Sätze von Regeln, um die Reaktion auf ein- und ausgehenden Datenverkehr festzulegen: Firewall-Regeln und Verbindungssicherheitsregeln.

Firewall-Regeln

Firewall-Regeln bestimmen, welcher Datenverkehr zugelassen bzw. blockiert wird. Wenn ein eingehendes Datenpaket den Computer erreicht, wird es von der Firewall dahingehend untersucht, ob es bestimmten Kriterien gehorcht, die in einer Firewall-Regel konfiguriert sind.

Dabei kann der Administrator aus einer Vielzahl von Kriterien wählen, beispielsweise ausgewählte Anwendungen und Dienste, TCP- und UDP-Ports, Schnittstellentypen, Benutzer, Benutzergruppen, Computer, Computergruppen sowie Protokollen und ICMP-Typen. Die Kriterien einer Regel werden kumuliert.

Werden, wie für das öffentliche Profil vorgeschlagen, auch ausgehende Verbindungen geblockt, ist in jedem Fall mehr Aufmerksamkeit gefordert. So sollte man darauf achten, dass Programme häufig aus verschiedenen Komponenten bestehen, beispielsweise wenn ein Programm bei einer Aktualisierung ein anderes Programm nachlädt.

Auf diese Weise kann es schnell passieren, dass andere Programmbestandteile ungewollt geblockt werden. Sinnvollerweise sollte immer auf der Herstellerseite der Anwendungen überprüft werden, ob Vorgaben existieren oder Probleme mit Firewalls bekannt und beschrieben sind.

Regeln für die Verbindungssicherheit

Firewall-Regeln steuern den Datenverkehr durch die Firewall, sichern ihn aber nicht. Mithilfe von Verbindungssicherheitsregeln können zusätzlich IPSec-Einstellungen (Internet Protocol Security) für ausgewählte Verbindungen konfiguriert werden. Die Firewall von Windows Vista integriert damit die Funktionen der Windows-Firewall und von IPSec, welches den Schlüsselaustausch, Authentifizierung, Datenintegrität und optional die Datenverschlüsselung übernimmt.

Verbindungssicherheitsregeln bestimmen wiederum, wie die Authentifizierung für zugelassene Verbindungen abläuft, lassen selbst aber keine Verbindungen zu. Wenn eine Verbindungssicherheitsregel so eingerichtet wird, dass eine Authentifizierung erforderlich ist, wird die Verbindung abgelehnt, wenn die Authentifizierung fehlschlägt.

Wichtig ist dabei zu wissen, dass die Verbindungssicherheitsregeln nicht auf Programme und Dienste angewendet werden, sondern auf die Kommunikation zwischen den Computern, die die beiden Endpunkte bilden. Zusätzlich ist eine Regel für ein- oder ausgehende Verbindungen erforderlich.

Insbesondere für das öffentliche Profil kann die Einrichtung von Verbindungssicherheitsregeln sinnvoll sein. Eine solche Vorgabe wird mit Hilfe der Option NEUE REGEL im Kontextmenü von Verbindungssicherheitsregel erstellt. Wie Bild 3 zeigt, werden fünf verschiedene Regeltypen unterstützt.

Die Verbindungssicherheit der definierten Regeln basiert auf IPSec, dessen Einstellungen in der Dialogbox IPSEC nach Auswahl der Option EIGENSCHAFTEN von WINDOWS FIREWALL MIT ERWEITERTER SICHERHEIT konfiguriert werden können.

IPSec-Konfiguration

Standardmäßig verwendet die Windows Vista Firewall die folgenden IPsec-Einstellungen für Verbindungssicherheitsregeln. Diese können in der in Bild 4 gezeigten Dialogbox geändert werden.

Schlüsselgültigkeitsdauer (in Minuten): 480 MinutenSchlüsselgültigkeitsdauer (in Sitzungen): 0 SitzungenSchlüsselaustauschalgorithmus: Diffie-Hellman-Gruppe 2Sicherheitsmethoden (Integrität): SHA1Sicherheitsmethoden (Verschlüsselung): AES-128 (primär)/3-DES (sekundär)Protokoll: ESP (primär)/AH (sekundär)Datenintegrität: SHA1Schlüsselgültigkeitsdauer: 60 Minuten/100.000 KBDatenverschlüsselung: AES-128 (primär)/3-DES (sekundär)Authentifizierungsmethode: Kerberos Version 5

Fazit

Bei der in Windows Vista integrierten Firewall handelt es sich um eine Personal-Firewall, die sich – mit ein paar Einschränkungen – vor kostenpflichtigen Konkurrenzprodukten nicht zu verstecken braucht. Ein alleiniger Einsatz in Unternehmensnetzwerken ist allerdings nicht zu empfehlen, was aber ebenso für andere Personal-Firewall-Lösungen gilt. In Unternehmensnetzwerken, die durch eine Netzwerk-Firewall geschützt sind, stellt sie eine sinnvolle Ergänzung dar – insbesondere für mobile Rechner oder Firmen-PCs, die von außerhalb auf das Unternehmensnetzwerk zugreifen müssen.

Dieser Artikel stammt aus der Mai/Juni-Ausgabe unserer Fachzeitschrift INFORMATION SECURITY. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Interviews in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de (Link unten). Mit dem Experten-Know-how von INFORMATION SECURITY finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

Artikelfiles und Artikellinks

(ID:2007247)