Reverse Firewalls

Eine Reverse-Firewall filtert ausgehenden Datenverkehr aus einem Netzwerk, im Gegensatz zu einer normalen Firewall, die eingehenden Datenverkehr filtert. In der Praxis würde die Filterung in beide Richtungen wahrscheinlich von derselben Software oder demselben Gerät übernommen werden. Wie bei Firewalls ist der Schlüssel zu einer effektiven umgekehrten Firewall ihre Richtlinie: Welche ausgehenden Verbindungen sollten erlaubt werden?

Das Prinzip besteht darin, dass die Verbindungen eines Wurms, mit denen er andere Rechner infiziert, nicht mit der Richtlinie der umgekehrten Firewall übereinstimmen und die Verbreitung des Wurms somit blockiert wird. Die Entscheidung basiert auf denselben Paket-Header-Informationen, die für eine Firewall verwendet wurden, einschließlich Quell- und Ziel-IP-Adressen und -Ports. Beispielsweise kann die Richtlinie vorschreiben, dass kein Rechner im kritischen Netzwerk über eine ausgehende Internetverbindung verfügen darf oder dass der Computer eines Benutzers nur auf Port 80, dem üblichen Port für einen Webserver, eine Verbindung zu externen Rechnern herstellen darf.

Eine hostbasierte Reverse-Firewall kann eine feinkörnigere Richtlinie implementieren, indem sie den Internetzugang auf einer anwendungsspezifischen Basis einschränkt. Nur bestimmte angegebene Anwendungen dürfen Netzwerkverbindungen öffnen, und dann nur Verbindungen, die der Richtlinie der Reverse-Firewall für ausgehenden Datenverkehr entsprechen. Ein Wurm als neu installierte ausführbare Datei, die der Reverse-Firewall unbekannt ist, könnte keine Netzwerkverbindungen öffnen, um sich zu verbreiten. Theoretisch. Dennoch ist eine Wurmaktivität in Gegenwart einer hostbasierten Reverse-Firewall möglich:

  • Ein Wurm kann sich mit alternativen Methoden verbreiten, wenn er mit einer umgekehrten Firewall konfrontiert wird, z.B. indem er sich selbst in gemeinsam genutzte Netzwerkverzeichnisse platziert. Infolgedessen wird auf dem Host, der von der umgekehrten Firewall überwacht wird, kein Wurmcode ausgeführt.
  • Legitimer Code, der bereits für den Zugriff auf das Internet zugelassen ist, kann von einem Wurm unterwandert werden. Ein Wurm kann einfach Benutzereingaben in ein bestehendes Mail-Programm fälschen, um sich z.B. per E-Mail zu verbreiten. Ein Wurm könnte auch ein virales Verhalten zeigen, indem er eine bestehende "genehmigte" ausführbare Datei auf indirektem Wege infiziert, wie z.B. durch ein Web-Browser-Plugin, oder auf einem direkteren Weg, den ein Virus normalerweise benutzen würde. Um sich vor dem letzteren Fall zu schützen, kann eine host-basierte Reverse-Firewall die Integritätsprüfung nutzen, um nach Änderungen an genehmigten ausführbaren Dateien Ausschau zu halten.
  • Social Engineering kann von einem Wurm verwendet werden. Eine host-basierte Reverse Firewall kann den Benutzer auffordern, den Namen des Programms, das versucht, eine Netzwerkverbindung zu öffnen, anzugeben, damit der Benutzer den Vorgang zulassen oder ablehnen kann. Dies würde normalerweise unter zwei Umständen geschehen:
    • Das Programm hat noch nie zuvor eine Netzwerkverbindung geöffnet. Dies wäre der Fall bei einem Wurm, neu installierter Software oder alter, installierter Software, die noch nie benutzt wurde.
    • Das Programm wurde zuvor für die Nutzung des Netzwerks zugelassen, hat sich aber geändert; es kann ein Software-Upgrade stattgefunden haben, oder der Programmcode wurde infiziert.

Ein "Schleichwurm" könnte geduldig warten, bis ein Anwender Software installiert oder aktualisiert hat, und dann eine Netzwerkverbindung öffnen. Der Benutzer wird wahrscheinlich annehmen, dass die Aufforderung der umgekehrten Firewall mit der legitimen Softwareänderung zusammenhängt und die Verbindung des Wurms zulässt. Der Wurm kann seiner ausführbaren Datei auch einen wichtig klingenden Namen geben, den die Reverse Firewall pflichtgemäß in der Eingabeaufforderung des Anwenders meldet und so den Anwender einschüchtert, den Betrieb des Wurms zuzulassen, aus Angst, dass sein Computer nicht richtig funktionieren wird.

Legitime Anwendungen können Internet-Operationen an ein separates Programm auslagern. Legitime Benutzeraufforderungen von einer umgekehrten Firewall können die Genehmigung des Netzwerkzugriffs für Software mit radikal anderen Namen als die vom Benutzer ausgeführte Anwendung anfordern. Benutzer werden wahrscheinlich alle Benutzeraufforderungen genehmigen, die kurz nachdem sie eine Aktion in einer Anwendung gestartet haben, und ein Wurm kann dies ausnutzen, um heimlich die Genehmigung eines Benutzers für seine Netzwerkoperationen zu erhalten.

Das zugrundeliegende Problem mit einer umgekehrten Firewall besteht darin, dass sie versucht, unbefugte Aktivitäten zu blockieren, indem sie die Netzwerkverbindungsaktivität beobachtet, eine Aktion, die von Würmern und legitimer Software ausgeführt wird. False Positives sind garantiert, was die Möglichkeit eröffnet, die Reverse Firewall zu umgehen.

Stand: 19.07.2020