Es ist eine Frage der persönlichen Einschätzungen von Risiken, wo und an welchen Stellen man "Firewallfunktionen" benötigt oder brauchen könnte.
Zunächst mal ist es generell schlecht, auf einem potentiell kompromittierbaren System eine Sicherheitskomponente zu installieren, wenn diese auf genau diesem System abgeschaltet oder umgangen werden kann. Es gibt Malware, die gezielt beispielsweise ZoneAlarm auf einem System abschaltet, bevor sie loslegt.
Es klingt also zunächst mal vernünftig, einen separaten Firewall (im einfachsten Fall nur einen [möglicherweise NAT-]Router mit klaren Regeln für die Weiterleitung von Verkehr bzw. das Blockieren unbekannten Traffics) im Netzwerk einzusetzen.
Was wird damit erreicht?
- Applikationen auf lokalen PCs können nicht durch Veränderung der PC-Konfiguration den Firewall durchdringen, wenn die entsprechende Kommunikation durch den Firewall unterbunden wird.
- Eingehender Verkehr muss zunächst durch den Firewall, um zu lokalen Systemen zu gelangen. Die Wahrscheinlichkeit, daß unerwünschter und ungefragter Datenverkehr zu einem lokalen System gelangt, ist also drastisch reduziert.
- Ist das ein echter Firewall und nicht nur ein nach Ports filternder Router, dann werden auch Protokolle validiert, d.h. man kann auf Port 53/udp nicht etwas anderes als DNS-Abfragen durchführen. Das erhöht die Sicherheit, daß erlaubte Ports nicht unerlaubt für ganz andere Protokolle als intendiert genutzt werden.
Ein Firewall dieser Art kann auf Netzwerkebene agieren. Was jedoch, wenn man Mozilla den Internetzugriff erlauben, Internet Exploder jedoch verbieten will, und andere, unbekannte Applikationen sollen standardmäßig gar nicht auf das Internet zugreifen können? Was, wenn ich Adobe Acrobat Reader an jeglichen DNS-Lookups hindern will, während Mozilla Firefox und Thunderbird dies dürfen?
Das äußert sich nicht im Netzwerkverkehr, denn dort geht die Information verloren, welche Applikation diesen generiert hat. Der Inhalt der übertragenen Daten kann bei erlaubten wie unerlaubten Applikationen gleich sein. Möchte man auf dieser Ebene eine Moderation von Anwendungen durchführen, so kann in Ergänzung zu einem separaten Firewall auf Netzwerkebene ein Application Firewall auf einem lokalen System sinnvoll sein.
Es muss jedoch klar sein, daß diese Personal Firewalls ihre Schwachstellen haben (man kann sie abschalten oder Regeln verändern/löschen) und die größte Schwachstelle immer vor dem Rechner sitzt. Ein Anwender will ja nicht jedes Datenpaket persönlich ins Internet begleiten, sondern mit hinreichend guten Regeln beispielsweise dem einen Browser den uneingeschränkten Internetzugriff gewähren, während andere Browser nur im LAN uneingeschränkt browsen dürfen. Uneingeschänkte ("trusted") Applikationen bergen jedoch trivialerweise das Risiko der Ausnutzung von Sicherheitslücken.
Es geht also darum, in einer sinnvollen Kombination von Maßnahmen den Netzwerkfirewall ggf. zu ergänzen. Dazu gehören Virenscanner und Personal Firewalls - man muss sich jedoch klar sein, daß dann auch nicht Meldungen des Personal Firewalls einfach mit OK zu bestätigen sind. Man muss verstehen, was gefragt wird und ggf. prüfen, ob das seine Richtigkeit hat. Sicherheit ist immer im Widerspruch zu Komfort und erfordert ein gewisses Knowhow.
Ich persönlich verwende mit sehr restriktiven Regeln die Comodo Internet Security mit dem dort enthaltenen Personal Firewall, der auf Netzwerkebene und auf Anwendungsebene Regeln erlaubt zu formulieren. Damit kann ich vor allem das lästige "Heim-Telefonieren" von Anwendungen unterbinden (z.B. Adobe Acrobat Reader). Meinem Vater hätte ich eher einen ZoneAlarm empfohlen, der zwar weniger abschirmt, jedoch auch weniger Fragen stellt und weniger Laufzeiteinstellungen erfordert.
--gandalf.
