Firewalls - Sicherheit für Netzwerke

netplanet Werbung

Um das Internet zu nutzen, muss ein Rechner ein Bestandteil des Internet werden, ob nun durch eine temporäre Einwahl über einen Online-Dienst oder über Standleitungen. Deshalb ist es wichtig, dass die eigenen Ressourcen vor unbefugten Zugriffen aus dem Internet gesichert werden müssen. Dies wird durch Firewalls sichergestellt.

Was ist eine Firewall?

Eine Firewall wird eingesetzt, um ein sicheres Netzwerk von einem unsicheren abzugrenzen, beispielsweise das lokale Netzwerk eines Unternehmens vor dem Internet. Die Firewall fungiert dabei als elektronische Barriere für entsprechend gesperrte Inhalte, kann aber auch zum Überprüfen von durchzulassenden Inhalten eingesetzt werden.

Bei der Überprüfung und der Filterung von Datenströmen wird zwischen verschiedenen Ansätzen unterschieden, die jeweils auf unterschiedlichen Ebenen des DoD-Schichtenmodells aufsetzen:

Paketfilterung

Die Paketfilterung ist die einfachste und zugleich schnellste Filterungsmöglichkeit. Mit einem Paketfilter werden Datenübertragungen auf bestimmten Ports komplett gesperrt oder durchgelassen, unabhängig vom Inhalt der Übertragung. Dies ist zum Beispiel sinnvoll auf einem Router oder anderen Geräten, die direkt in der Netzwerkperipherie eingebunden sind. Auf diese Weise kann per Paketfilterung schon ein Großteil von unerwünschter Kommunikation grundsätzlich abgeblockt werden. Problematisch ist jedoch bei der klassischen Paketfilterung, dass sie nicht "intelligent" arbeitet: Man kann Pakete bestimmter Ports entweder nur sperren oder durchlassen, man kann nicht bestimmte Pakete mit bestimmten Inhalten gesondert behandeln.

Statusbehaftete Überprüfung ("Stateful Inspection")

Die statusbehaftete Überprüfung ist eine weiterentwickelte Form der Paketfilterung und kann im Gegensatz zur reinen Paketfilterung noch weitergehende Analysen der Datenströme vornehmen. Anstelle Pakete einzeln anzusehen, werden bei der statusbehafteten Überprüfung die Datenströme in ihrer Gemeinsamkeit analysiert und so gegebenenfalls taxiert. Der Datenstrom kann teilweise ausgewertet und entsprechend auch intern umgeleitet werden. Im Gegensatz zur Überprüfung auf Applikationsebene (siehe unten) funktioniert dies bei der statusbehafteten Überprüfung schneller und vor allem transparent.

Überprüfung auf Applikationsebene

Die Überprüfung auf Applikationsebene stellt eine sehr hohe Sicherheitsstufe dar und überprüft einen Datenstrom komplett auf seinen Inhalt. Im einfachsten Falle wird so eine Überprüfung durch einen so genannten Proxy (engl. "Stellvertreter") bewerkstelligt, der das Protokoll der Applikation auswerten kann, dessen Datenstrom ausgewertet wird. Hier können dann sehr differenzierte Filtermechanismen eingesetzt werden, die direkt auf der Applikationsebene arbeiten. Beispielsweise arbeiten auf diese Weise alle Anti-Virenprogramme, die eine Überprüfung des ein- und ausgehenden Mailverkehrs anbieten. Hier kommuniziert ein Mail-Programm nicht direkt mit dem Mailserver, sondern mit einem Proxy, der wiederum die Befehlssequenzen an den Mailserver weiterleitet. Der Mailserver schickt dann seine Antworten zurück, so dass diese auch wieder durch den Proxy geleitet werden und in diesem Moment entsprechend virengeprüft werden können. Nachteilig ist jedoch, dass eine Überprüfung auf Applikationsebene meist immer auf eigene Proxys hinausläuft, deren Anschaffung dementsprechend kostenintensiv sein kann.

Personal Firewalls

Personal Firewalls richten sich vornehmlich an den Privatkunden, der damit einen einzelnen Rechner gegen unbefugte Zugriffe aus dem Internet absichern möchte. Der Sinn einer Personal Firewall darf dabei durchaus hinterfragt werden, da die meisten Programme in dieser Gattung in der Regel nur statische Paketfilterung beherrschen, also nur eine Filterung anhand der Adressierung der einzelnen Datenpakete vornehmen können.

Zu dieser trügerischen Sicherheit kommt dann oft noch das fehlende Wissen des Benutzers. Ein Rechner, der an das Internet angebunden ist, erhält ständig die verschiedensten Datenpakete aus dem Netz, darunter auch oft Daten, die er nicht selbst angefordert hat. Dies können Ping-Anfragen, versuchte Web-Seitenabrufe, aber auch Hackangriffe sein. Oft werden Warnmeldungen generiert, die keine sind und dazu führen, dass der Benutzer sie immer weniger beachtet oder gar ganz ausschaltet.

Oft installiert der Benutzer auch Programme, die zur Kommunikation über das Internet nicht nur die bekannten Ports nutzt, sondern spezielle. Der Benutzer wird dann vermutlich unachtsam seine Firewall für diese Programme entsprechend öffnen und auf diese Weise die schon trügerische Sicherheit seiner Personal Firewall noch weiter aushöhlen.

Prinzipiell sind an einem Computer, der an das Internet angeschlossen ist, nur die Ports offen, von beziehungsweise an die eine Datenübertragung erfolgt oder an denen ein Programm auf dem Computer auf ankommende Daten horcht. Für Privatkunden reicht diese Sicherheit in der Regel vollkommen aus.

Einsatzszenarien für Firewalls

Firewalls können auf verschiedene Weise in Netzwerke integriert werden, abhängig von den Anforderungen an die Sicherheit und den Diensten, die eventuell im Netzwerk bereitgestellt werden müssen.

Zentrale Firewall (Bastion Host)

Eine zentral positionierte Firewall ist die am häufigsten anzutreffende Installationsform einer Firewall, da sie einfach in schon bestehende Netzwerke eingebunden werden kann. In so einem Szenario nennt man die Firewall auch oft "zweibeinige Firewall", da sie Verbindungen in zwei Netzwerke hat: Zum Internet und zum lokalen Netzwerk.

Zentrale Firewall

Die Firewall grenzt unmittelbar das gesamte lokale Netzwerk vom Internet ab. Bei einer entsprechend korrekt konfigurierten Firewall bietet dieses Szenario für das lokale Netzwerk einen sehr guten Schutz gegenüber dem Internet.

Kaskadierte Firewalls (Back-to-Back-Firewalls)

In besonders sicherheitsrelevanten Bereichen werden oftmals zwei voneinander völlig getrennte Firewalls eingesetzt, teilweise sogar von unterschiedlichen Herstellern. Diese Konstellation bietet noch höhere Sicherheit gegenüber einer zentralen Firewall, da für einen Einbruch in das lokale Netzwerk gleich zwei Firewalls überwunden werden müssen.

Kaskadierte Firewall

Ein weiterer Vorteil ist die Möglichkeit zur Einrichtung eines Perimeternetzwerks (früher auch als "Demilitarisierte Zone" oder kurz "DMZ" bezeichnet), das zwischen den beiden Firewalls liegt. Jede Übertragung zwischen dem Internet und dem lokalen Netzwerk muss demnach durch das Perimeternetzwerk geschleust werden; beide Netzwerke haben keine direkte Verbindung miteinander.

Das Perimeternetzwerk kann zusätzlich als Bereich für die Aufstellung von Servern genutzt werden, die öffentliche Dienste bereitstellen, also direkt aus dem Internet erreichbar sein sollen. Diese sind im Perimeternetzwerk quasi in einem "Quarantänebereich", ein dortiger Hackerangriff muss das lokale Netzwerk nicht unbedingt in Mitleidenschaft ziehen.

Perimeternetzwerk mit einer Firewall

Ein Perimeternetzwerk lässt sich auch nur mit Hilfe einer einzigen Firewall bilden, wenn eine "dreibeinige" Firewall verwendet wird. Dies bedeutet, dass die Firewall drei Schnittstellen besitzen muss: Eine zum Internet, eine in das Perimeter- und eine in das lokale Netzwerk.

Perimeternetzwerk mit einer Firewall

Dieses Szenario mit nur einer Firewall bietet die Möglichkeit der Einrichtung eines Perimeternetzwerks mit nur einer Firewall, ist aber nicht so flexibel und leistungsfähig wie kaskadierte Firewalls. Für so ein Szenario spricht jedoch der erheblich geringere Kostenfaktor durch den Einsatz nur einer Firewall, weshalb dieses Szenario in den meisten Netzwerken angewendet wird.

Sandwich-System

In einem Sandwich-System sind neben einer Firewall auch noch Netzwerkperipherie wie beispielsweise Router und Switches in die Filterlösung eingebunden. Gängige Geräte bieten oft eigene Filtermechanismen, die sich ohne weitere Hardwareanschaffungen nutzen lassen.

Nachteilig ist jedoch bei der Einbindung dieser zusätzlichen Ressourcen die Starre und Unflexibilität vieler solcher Filtermechanismen und der erforderliche Konfigurationsaufwand, da alle Hersteller hier unterschiedliche Bedienansätze haben, teilweise sogar in unterschiedlichen Produkten von einem einzigen Hersteller.

Eine Firewall als Glied einer Sicherheitskette

Eine Firewall kann nur so gut sein wie die Sicherheitspolitik, die ein Unternehmen für sein Netzwerk pflegt und durchsetzt. Eine Firewall ist deshalb in einer Sicherheitskette (siehe hierzu auch Konzepte für ein sicheres Netzwerk) nur ein Glied von vielen. Bricht die Kette in Form einer löchrigen Firewall, ist die gesamte Sicherheitspolitik in diesem Moment in Frage gestellt.

Moderne Firewalls werden deshalb immer mehr zu anspruchsvollen Sicherheitseinrichtungen, die den Datenverkehr nicht nur "dumm" auf unterer Ebene kontrollieren, sondern immer stärker auch auf Applikationsebene Datenströme untersuchen können. Dazu bauen Firewall-Hersteller vor allem auf eine Plug-In-Bauweise, um Schnittstellen für andere Programme zu schaffen, die so zusätzliche Kontrollfunktionalitäten implementieren können. Moderne Antivirenprogramme bieten beispielsweise in Ihren Server-Produkten Plug-Ins für gängige Firewalls, um auf diese Weise bestimmte Datenströme automatisch nach Computerviren zu durchsuchen. So könnten dann problemlos alle Web-Seiten, die von Nutzern des Netzwerks angefordert werden, nach Computerviren durchsucht und gegebenenfalls bereinigt werden, bevor sie überhaupt den Computer des Nutzers erreichen. Ähnliche Filtermechanismen gibt es zur Kontrolle und Regulierung von Web-Zugriffen. Webseiten können so beim Durchqueren der Firewall automatisch auf schädliche oder auch obszöne Inhalte kontrolliert werden. Dazu existieren verschiedene Anbieter, die aktuelle Listen mit entsprechenden Website-Adressen auf Basis eines Abonnements anbieten.

Viele Firewalls sind gleichzeitig auch mit einer Caching-Funktion für Web-Seiten ausgestattet, einem so genannten Proxy. Ein Benutzer des Netzwerks sendet hierbei seine Website-Anfrage nicht direkt ins Internet, sondern an den Proxy, der dann die Anfrage in seinem Namen vornimmt. Er empfängt die Antwort und die Website-Inhalte und liefert sie an den Benutzer im Netzwerk weiter. Gleichzeitig speichert er jedoch die Antworten des Webserver, um diese für den Fall bereitzuhalten, wenn ein anderer Mitarbeiter ebenfalls die gleiche Website-Anfrage startet. Auf diese Weise werden mehrfache Anfragen vermieden und Datenvolumen eingespart.

WERBUNG
Zum Beginn dieser Seite