Russland: Brauche ich eine Hardware-Firewall oder andere Tools?
Viele Nutzer sind zunehmend wegen Russlands Cyberattacken verunsichert. Viele Fragen sich ob Sie jetzt eine andere AntiViren-Software (Artikel zu Kaspersky) und vielleicht sogar eine Hardware-Firewall benötigen.
SPI-Firewall und eingehende Verbindungen
Die meisten Router verfügen bereits über eine eingebaute Firewall, welche natürlich Angriffe und Anfragen von außen blockiert. Der Router sollte hierbei über eine SPI-Firewall verfügen, welche die ankommenden Datenpakete etwas genauer unter die Lupe nimmt. Viele teurere und beliebte Router verfügen standardmäßig über dieses Feature, evtl. muss es jedoch noch aktiviert werden.
Windows-Firewall
Auch die Windows-Firewall kann einen guten Bassisschutz bieten. Sofern der Computer nicht unbedingt von anderen Computer im Netzwerk angesprochen werden muss, kann hier auch die Voreinstellung für „Öffentliche Netzwerke“ statt „Privater Netzwerke“ verwendet werden. Dies bietet innerhalb des Netzwerks einen leicht erhöhten Schutz.
Software-Firewall und ausgehende Verbindungen
Natürlich kann es auch Bedrohungen von „innen“ kommen, z. B. durch Spionage-Software und andere Tools. Auch kontaktiert Malware von Zeit zu Zeit einen sogenannten „Command and Control Server“ um neue Anweisungen und Module herunterzuladen.
Hiergegen können wir am besten etwas unternehmen, wenn wir direkt auf dem jeweiligen Computer die ausgehenden Verbindungen kontrollieren. Die Windows-Firewall verhindert diese ausgehenden Verbindungen nur begrenzt. Ein sehr praktisches Tool hierfür ist TinyWall, welches ich bereits in einem anderen Artikel beschrieben hatte. Natürlich gibt es hier auch andere kostenpflichtige Lösungen, die auch intelligentere Malware blockieren können (welche sich z. B. als ein anderes zugelassenes Programm ausgeben).
Firewall-Appliances und Intrusion-Detection-Systeme
Neben diesen günstigeren und einfacheren Lösungen gibt es natürlich auch noch weitaus komplizierte Lösungen mit z. B. pfSense und anderer spezieller Router-Software welche auch Angreifer im Netzwerk erkennen kann (Intrusion Detection). Hier muss allerdings weitaus mehr berücksichtigt und geplant werden.
Netzwerk-Segmentierung
Netzwerke sollten grundsätzlich segmentiert bzw. getrennt werden, d. h. ein Firmennetzwerk sollte grundsätzlich immer von den Rechnern der Kinder getrennt sein. Sofern möglich sollte auch das Gästenetzwerk und sogar das WLAN-Netzwerk von kritischen Bereichen getrennt sein.
Ziel ist es das weniger sichere Rechner nicht mehr ohne weiteres auf wichtige Computer innerhalb des Netzwerks zugreifen können. Eine sehr einfache und schnelle Segmentierung kann durch VLANs oder aber auch durch den Einsatz mehrerer Router erreicht werden. Wobei jeder Router durch seine integrierte Firewall-Funktionalität Anfragen von außerhalb des Netzwerks blockiert, jedoch Anfragen hinter dem Router zu dem davor liegenden Netzwerk noch immer möglich sind.
VPN-Verbindungen
Eine VPN-Verbindung schützt nur Daten auf dem Übertragungsweg vom Computer zum VPN-Server (dies kann z. B. im Hotel-WLAN oder im Ausland nützlich sein).
Ist der Computer selbst oder der VPN-Server kompromittiert, ist der Schutz dahin. Auch rate ich grundsätzlich davon ab uneriöse VPN-Anbieter zu benutzen, letztendlich ist es jedem VPN-Anbieter möglich den gesamten Traffic mitzuschneiden und zu manipulieren – sogar der Austausch von SSL-Zertifikaten ist möglich. Ansonsten kann eine VPN-Verbindung auch zur Authentifizierung von zugriffsberechtigten Clients (z. B. durch eine Firewall) verwendet werden. Die VPN-Verbindung darf aber die Authentifizierung niemals gänzlich ersetzen. So kann ein VPN verwendet werden um die „Möglichkeit des Logins selbst“ überhaupt erst zu ermöglichen – d. h. die Anmeldeseite kann nur geöffnet werden, wenn der Client auch im VPN ist.
Weiter sollte verhindert werden das VPN-Clients auf andere VPN-Clients zugreifen können. Auch muss verhindert werden, dass der VPN-Server und andere VPN-Clients auf das eigene private Netzwerk zugreifen können.
Daher empfiehlt es sich einen eigenen VPN-Server zu betreiben statt auf Drittanbieter zu setzen.
Schutz der DNS-Anfragen
DNS-Anfragen können manipuliert und abgehört werden. Daher empfehle ich den Einsatz sicherer DNS-Server mit DNS über HTTPS. So werden die Anfragen auf dem Transportweg verschlüsselt und es ist für Dritte nicht mehr so leicht erkennbar welche Seiten besucht werden.
Hier ist der Anbieter NextDNS (Artikel zu NextDNS) zu empfehlen, welcher über seinen DNS-Service auch die Erstellung von individuellen Filtern und Regeln erlaubt. So können viele (bekannte) Bedrohungen blockiert und redselige Herstellersoftware zum Schweigen gebracht werden.
Auch lässt sich der Traffic und die Anfragen besser analysieren, was dabei helfen kann Probleme im eigenen Netzwerk zu identifizieren und letztendlich auch zu blockieren.
Weitere Software
Es gibt noch zahlreiche andere Software-Lösungen zum Schutz vor Bedrohungen. Der Einsatz von Software aus den USA ist mir natürlich immer etwas suspekt. Auch bin ich kein Freund von Software welche zentral verwaltet werden kann. Das ist zwar in größeren Netzwerken praktisch, bei einer Sicherheitslücke ist der Zugriff auf alle Systeme aber ebenfalls für einen Angreifer sicher.
Abschließend möchte ich daher noch kurz Hitman Pro Alert von Sophos empfehlen, welches viele praktische Funktionen zur Exploit-Abwehr und Risikominderung bereitstellt.
Bei „exotischer“ Software kann es natürlich zu zahlreichen Fehlermeldungen kommen. Daher stellt die Software auch an Anwender ggf. höhere Anforderungen.
Backups
Natürlich gilt es zum Ende hin auch zu erwähnen, dass die wichtigste Vorsorgemaßnahme Backups sind.
Backups sollten regelmäßig erstellt werden und an einem sicheren Ort aufbewahrt werden. Aufgrund der erhöhten Bedrohungslage empfehle ich auch zusätzliche „Offline-Backups“, d. h. Backups auf einer externen Festplatte (welche nicht dauerhaft an einem Computer angeschlossen ist).
Davon abgesehen sollten Backups verschlüsselt werden und regelmäßig getestet werden, denn in einigen wenigen Fällen zeigen sich Probleme erst bei der Wiederherstellung der Daten.
Ein sehr praktisches Tool um ganze Systeme zu sichern ist CloneZilla. Das Tool erstellt hierfür Images der Partition oder Festplatte.