NVIDIA Firewall

Eine Firewall auf einem Rechner zu installieren, ist in der heutigen Zeit erst einmal eine gute Sache. Die Firewall aber Hardwareseitig mitgeliefert zu bekommen, ist schon fast eine Musterlösung. Die Frage, ob eine Software- oder Hardware-Firewall besser ist, kann allerdings so ganz pauschal nicht beantwortet werden. Es kommt immer auf die Umgebung an, ob ein einzelner Rechner oder ein ganzes lokales Netzwerk zu sichern ist.

Hardware-Firewalls bieten sehr guten Schutz gegen die meisten Angriffe von Außen. Zusätzlich sind sie in den meisten Fällen mit wenig oder ganz ohne Konfigurationsaufwand betriebsbereit. Sie sind schnell, belasten die CPU nicht bzw. wenig und schaffen es, ganze lokale Netze vor Angriffen von Außen zu schützen. Sie funktionieren durch Analyse der Header-Informationen in den übertragenen Paketen. Allerdings sind sie in den meisten Fällen ziemlich teuer. Bekommt man sie gleich mitgeliefert, ist es natürlich optimal: Keine zusätzlichen Kosten und maximaler Nutzen.

Software-Firewalls bieten zusätzlich die Funktion, einzelnen Programmen Zugriffsrechte vergeben zu können. Bei ihnen kann z.B. nur Outlook.exe autorisiert werden, auf Port 25 Mails zu senden - und andere Programme dürfen diese Aktion dann nicht ausführen. Durch das genaue Definieren des Zugriffes verschiedener Programme auf das Internet ist die höchstmöglichste Sicherheit gegeben, da somit auch Angriffe, die noch vom eigenen Rechner ausgehen, z.B. von einem noch unbekannten Trojaner, unterbunden werden.

Doch aller Funktionsumfang kostet Ressourcen. Software Firewalls gehen voll zur Lasten der CPU. Es steht kein Hardwarebauteil bereit, dass die Lasten übernimmt. Zudem muss man darauf vertrauen, dass die Programmierer dieser Firewall keine Fehler gemacht haben, welche die Firewall umgehbar machen.

Der Funktionsumfang der NVIDIA Firewall erstreckt sich zum einen auf den normalen "Stateless" Firewall Modus, der jedes Paket untersucht, das vom oder zum Rechner gesendet wird. Jedes Paket wird dabei mit den in der Firewall definierten Regeln verglichen und daraufhin entweder weitergeleitet oder verworfen. Diese Regeln lassen sich aus zahlreichen Optionen (IP Adressen, IP Protokolle, Ports, IP und TCP Optionen) und einigen mehr definieren. Dadurch, dass jedes Paket verglichen werden muss, wird die Performance der Firewall mit steigender Anzahl an Regeln sinken.

Zum anderen wird auch der so genannte "Stateful Inspection" Modus unterstützt, der eigentlich nur eine Erweiterung des Stateless Modus ist. Hier wird nur zu Beginn einer Verbindung die Paketanalyse durchgeführt. Wird eine Verbindung dann als erlaubt erkannt, so wird diese weiterhin aufrechterhalten, ohne weitere Paketuntersuchungen. Die empfangenen Pakete werden jetzt nach einem Hash gefiltert, der für jede erlaubte Verbindung aus einigen Werten im IP Header der Pakete erstellt wird. Passt der Hash eines gerade empfangenen Paketes zu einer erlaubten Verbindung wird es sofort an diese weitergeleitet. Dies reduziert den Rechenaufwand enorm.

Zusätzlich ist in der Firewall ein Anti-Spoofing Feature integriert, das dem lokalen Rechner nur erlaubt, Pakete mit seiner eigenen IP Adresse im Header zu versenden. Dadurch wird verhindert, dass gespoofte Pakete, d.h. Pakete, die nicht die IP-Adresse des wirklichen Senders im Header stehen haben, vom eigenen Rechner gesendet werden können. Dies ist eigentlich keine Sicherung für einen selbst, sondern mehr für andere. Denn falls der Rechner eines Tages doch mit einem Hackertool infiziert sein sollte, kann dieser keine solchen Pakete senden.

Soweit die Theorie. In der Praxis gelang es uns bisher nicht, uns einen Überblick über die Möglichkeiten der NVIDIA Firewall zu verschaffen. Die Gründe dafür mögen vielseitig sein. Praktisch bleibt aber zu sagen, dass wir auf unserem derzeitigen Muster nicht in der Lage waren, die Konfigurationssoftware der Firewall zu starten.

Screenshots der NVIDIA Präsentationen offenbarten uns zumindest das, was wir sehen sollten, doch trafen wir selbst lediglich auf leere Konfigurationsfenster. Hier war es in der Kürze der Zeit schlicht nicht möglich, dem Problem auf die Schliche zu kommen. Update: Inzwischen ließ sich erfahren, daß dies ein generelles Problem mit Rechnern ist, welche nicht mit US-englischen Sprach- und Ländereinstellungen betrieben werden. nVidia arbeitet bereits an einem Fix der Treiber für die europäischen User.

Durch die Integration einer Hardware-Firewall in die Rechner der Enduser wird die Sicherheit vor Sasser, Blaster und Konsorten erhöht. Letztlich ist aber eine erhöhte Sicherheit nur dort zu erwarten, wo der User auch versteht, was er gerade konfiguriert. Ansonsten nutzt die beste Firewall nichts, weil sie nach einer Weile durch Programme wie eDonkey, KaZaA, WinMX, ICQ usw. so viele Löcher hat, dass sie praktisch nichts mehr nutzt. Falsch konfigurierte Firewalls sind so viel Wert wie gar keine. Und eine Firewall ersetzt keinen Virenscanner.

Damit bleibt an dieser Stelle die Innovation des Herstellers zu loben, der mit dieser Funktion erst einmal ein Stück mögliche Sicherheit integrierte. Inwieweit sich Software (Treiber) verbessern muss und auch die Konfigurationsanleitungen, das bleibt vorerst einmal abzuwarten.