Was kann wel­che Fi­re­wall?

Der Se­cu­ri­ty-Klas­si­ker gilt im­mer noch als es­sen­ti­el­ler Be­stand­teil für den Schutz ge­gen An­grif­fe auf das Un­ter­neh­mens­netz. Le­sen Sie, wie ei­ne Fi­re­wall funk­tio­niert und wor­in sich die ver­schie­de­nen Va­ri­an­ten un­ter­schei­den.

Computerwoche - - Inhalt - Von Jens Do­se, Re­dak­teur

Der Se­cu­ri­ty-Klas­si­ker gilt im­mer noch als wich­ti­ger Schutz ge­gen An­grif­fe auf das Un­ter­neh­mens­netz. Wir er­klä­ren, wie ei­ne Fi­re­wall funk­tio­niert und wor­in sich die ver­schie­de­nen Va­ri­an­ten un­ter­schei­den.

Ganz all­ge­mein ist ei­ne Fi­re­wall ein Netz­ge­rät, das Pa­ke­te über­wacht, die in das Netz hin­ein- oder hin­aus­ge­hen. Ist ei­ne Fi­re­wall auf ei­nem Rech­ner in­stal­liert, spricht man von ei­ner Per­so­nal- oder Desk­top-Fi­re­wall. Sitzt sie nicht auf dem zu schüt­zen­den Sys­tem selbst, son­dern auf ei­nem ei­ge­nen Ge­rät im Netz, spricht man von ei­ner ex­ter­nen Fi­re­wall. An­de­re Be­zeich­nun­gen sind Netz- oder Hard­ware-Fi­re­wall. Fi­re­walls blo­ckie­ren oder ge­wäh­ren den Da­ten­tran­sit auf Ba­sis de­fi­nier­ter Re­geln, die ent­schei­den, wel­cher Traf­fic er­laubt ist und wel­cher nicht. So weh­ren sie An­grif­fe von au­ßen über of­fe­ne Ports auf ei­nen Rech­ner oder ein Netz ab. Dar­un­ter fal­len bei­spiels­wei­se In­ter­net-Wür­mer wie SQL Slam­mer und Sas­ser. Zu­dem blo­ckie­ren Fi­re­walls schäd­li­chen Traf­fic von in­nen nach au­ßen, wenn bei­spiels­wei­se ei­ne Mal­wa­re, die trotz al­ler Ge­gen­maß­nah­men in­tern Fuß ge­fasst hat, Kon­takt zu ei­nem Kon­troll-Ser­ver auf­neh­men will. Ur­sprüng­lich ka­men Fi­re­walls als Wäch­ter an den Gren­zen zwi­schen ver­trau­ens­wür­di­gen Net­zen, und sol­chen, de­nen nicht ver­traut wird, zum Ein­satz. Mitt­ler­wei­le nut­zen Un­ter­neh­men sie auch, um in­ter­ne Netz­seg­men­te wie das Re­chen­zen­trum ge­gen an­de­re Seg­men­te des Un­ter­neh­mens­net­zes ab­zu­schir­men.

Über die Jah­re ha­ben sich viel­fäl­ti­ge Ar­ten von Fi­re­walls ent­wi­ckelt. Sie wur­den zu­neh­mend kom­ple­xer und nut­zen ei­ne grö­ße­re An­zahl Pa­ra­me­ter, um zu ent­schei­den, ob Traf­fic pas­sie­ren darf. Mo­der­ne Va­ri­an­ten wer­den meist als Next Ge­ne­ra­ti­on Fi­re­walls (NGFWs) be­zeich­net. Sie be­inhal­ten et­li­che Fea­tu­res, die über Fil­ter­tech­ni­ken hin­aus­ge­hen.

Pr­o­xy-ba­sier­te Fi­re­wall

Ei­ne Pr­o­xy-ba­sier­te Fi­re­wall fun­giert als Si­cher­heits­schleu­se zwi­schen An­wen­dern, die Da­ten an­for­dern, und der Qu­el­le die­ser Da­ten. Da­her wird sie oft auch als „Ga­te­way Fi­re­wall“be­zeich­net. Sie ar­bei­tet als Stell­ver­tre­ter (Pr­o­xy) zwi­schen den zu schüt­zen­den Res­sour­cen und an­de­ren Net­zen wie dem In­ter­net und prüft sämt­li­chen Aus­tausch zwi­schen bei­den.

Will bei­spiels­wei­se ein ex­ter­nes Ge­rät über das In­ter­net auf ei­ne Res­sour­ce im ge­schütz­ten

Netz zu­grei­fen, läuft die­se An­fra­ge über die Fi­re­wall – Ge­rät und Netz kom­mu­ni­zie­ren nie di­rekt mit­ein­an­der. Die An­fra­ge des Ge­räts wird von der Fi­re­wall ab­ge­fan­gen, die über­tra­ge­nen Pa­ke­te wer­den ge­prüft. Die Fi­re­wall kann sie fil­tern, um Richt­li­ni­en an­zu­wen­den und den Ort des Emp­fän­ger­ge­räts zu mas­kie­ren. An­schlie­ßend baut sie ei­ne se­pa­ra­te si­che­re Ver­bin­dung zwi­schen sich und der Ziel­res­sour­ce auf. Die Ant­wort aus dem Netz geht eben­falls in zwei Etap­pen über den Pr­o­xy an das ex­ter­ne Ge­rät zu­rück. Da­mit schützt er das Emp­fän­ger­ge­rät und das Netz selbst.

Der Vor­teil ei­ner Pr­o­xy-Fi­re­wall liegt dar­in, dass Ge­rä­te nie di­rekt mit dem Netz ver­bun­den sind. Die Fi­re­wall hat ih­re ei­ge­ne IP-Adres­se, über die aus­schließ­lich von au­ßen kom­mu­ni­ziert wird. Da­her gilt die­se Art der Fi­re­wall als ei­ne der si­chers­ten. Da nicht nur die Netz­adres­se und Port-Num­mer ei­nes an­kom­men­den Da­ten­pa­kets un­ter­sucht wer­den, son­dern die Netz­pa­ke­te als Gan­zes, be­sit­zen Pr­o­xy-Fi­re­walls meist auch um­fang­rei­che Log­ging-Funk­tio­nen. Das macht sie bei ei­nem Si­cher­heits­vor­fall zu ei­ner wert­vol­len Res­sour­ce für Ad­mi­nis­tra­to­ren, da sich Log-Da­ten gut aus­wer­ten las­sen.

Auf der an­de­ren Sei­te kann die Per­for­mance lei­den, da sich Ver­zö­ge­run­gen er­ge­ben, wenn die Fi­re­wall an­dau­ernd ein­ge­hen­de Ver­bin­dun­gen kappt, neu auf­baut und fil­tert. Das wie­der­um macht es un­mög­lich, man­che An­wen­dun­gen über die Fi­re­wall zu nut­zen, da die Ant­wort­zei­ten zu lan­ge sind. Es kann zu­dem sein, dass die Fi­re­wall von vorn­her­ein nur be­stimm­te Netz­pro­to­kol­le und da­mit auch nur be­stimm­te An­wen­dun­gen un­ter­stützt. Da sämt­li­cher Traf­fic über die Fi­re­wall läuft, wird sie fer­ner zu ei­ner Art Sing­le Po­int of Failu­re (SPoF), de­ren Aus­fall das gan­ze Netz lahm­le­gen kann.

Sta­te­ful Fi­re­wall

Um die Per­for­mance-Nach­tei­le der Pr­oxyFi­re­wall in den Griff zu be­kom­men, ent­wi­ckel­te der IT-Se­cu­ri­ty-An­bie­ter Check Po­int in den frü­hen 1990er-Jah­ren die Sta­te­ful Fi­re­wall. An­statt je­des ein­zel­ne Pa­ket zu un­ter­su­chen, über­wacht sie den Ver­bin­dungs­zu­stand – ei­ne so­ge­nann­te Sta­te­ful In­spec­tion. Zu Be­ginn ei­ner Ver­bin­dung prüft die Fi­re­wall, ob es sich um er­laub­te, si­che­re Pa­ke­te han­delt. Stuft sie den Traf­fic als le­gi­tim ein, baut die Fi­re­wall ei­ne Ver­bin­dung zum Ziel auf und lässt die Pa­ke­te pas­sie­ren. Die­sen Sta­tus be­hält sie nun im Spei­cher und lässt al­le fol­gen­den Pa­ke­te, die Teil die­ser Kom­mu­ni­ka­ti­on sind, oh­ne wei­te­re Prü­fung hin­durch. Der Sta­tus be­inhal­tet da­bei De­tails wie die an der Ver­bin­dung be­tei­lig­ten IP-Adres­sen und Ports so­wie die Se­quenz­num­mern der ver­schick­ten Pa­ke­te. Un­gül­ti­ge Pa­ke­te, die kei­ner exis­tie­ren­den Ver­bin­dung an­ge­hö­ren, weil sie bei­spiels­wei­se zu ei­ner De­ni­al-of-Ser­vice-(DoS-)Atta­cke ge­hö­ren, wer­den ge­blockt.

Da die Sta­te­ful Fi­re­wall al­le Ver­bin­dungs­in­for­ma­tio­nen – er­laub­te und ge­block­te – in ei­ner Ta­bel­le in ih­rem Spei­cher auf­be­wahrt, kann ein ge­ziel­ter Dis­tri­bu­ted-De­ni­al-of-Ser­vice- (DDoS-)An­griff Schwie­rig­kei­ten be­rei­ten. Un­ter der schie­ren Men­ge an ge­block­ten Ver­bin­dun­gen, die die Ta­bel­le bei ei­ner sol­chen Atta­cke fest­hält, kann die Ver­ar­bei­tung le­gi­ti- mer Ver­bin­dun­gen und da­mit der Ser­vice lei­den. Um die­ses Ri­si­ko ab­zu­mil­dern, ver­tei­len vie­le Un­ter­neh­men die Ver­ar­bei­tung des Net­zTraf­fics über meh­re­re Fi­re­wall-Ap­p­li­an­ces. Oft fällt die Wahl da­bei auf Cloud-ba­sier­te Lö­sun­gen, da sie mit den Wor­kloads ska­lie­ren und so ei­nen Aus­fall durch Über­las­tung aus­schlie­ßen.

Next Ge­ne­ra­ti­on Fi­re­wall

Next Ge­ne­ra­ti­on Fi­re­walls fil­tern Pa­ke­te zu­sätz­lich zum Ver­bin­dungs­sta­tus so­wie Qu­el­lund Ziel­d­res­sen an­hand wei­te­rer Cha­rak­te­ris­ti­ka. So be­inhal­ten sie Re­geln, was in­di­vi­du­el­le An­wen­dun­gen und Nut­zer dür­fen, und ver­wen­den mehr In­for­ma­tio­nen, um bes­se­re Ent­schei­dun­gen dar­über zu tref­fen, ob Traf­fic er­laubt wird. Vie­le NGFWs ver­ei­nen heu­te Si­cher­heits­funk­tio­nen in sich, die tra­di­tio­nell von an­de­ren Lö­sun­gen er­bracht wur­den. Dar­un­ter fal­len bei­spiels­wei­se:

In­tru­si­on Preven­ti­on Sys­tems (IPS): Als se­pa­ra­te Lö­sung saß das IPS meist di­rekt hin­ter der tra­di­tio­nel­len Fi­re­wall und er­griff Maß­nah­men ge­gen er­kann­te Ano­ma­li­en und An­griffs­mus­ter, die es an der Fi­re­wall vor­bei­ge­schafft hat­ten. Vie­le NGFWs er­wei­tern die klas­si­schen IPS-Fä­hig­kei­ten durch fei­ner gra­nu­lier­te Se­cu­ri­ty-Fak­to­ren. So glei­chen sie den ana­ly­sier­ten Traf­fic ge­gen ei­ne Da­ten­bank be­kann­ter An­griffs­mus­ter ab und kön­nen un­be­kann­te An­grif­fe an­hand von Ab­wei­chun­gen vom Nor­mal­be­trieb iden­ti­fi­zie­ren und ver­hin­dern. Durch die In­te­gra­ti­on des IPS in die NGFW ver­rin­gert sich der Ver­wal­tungs­auf­wand für die Ad­mi­nis­tra­to­ren, da es kei­ne Ex­tra­kom­mu­ni­ka­ti­on zwi­schen den Lö­sun­gen zu kon­fi­gu­rie­ren und steu­ern gibt.

Deep Pa­cket In­spec­tion (DPI): Im Ge­gen­satz zu klas­si­schen Pa­ket­fil­tern wird hier nicht nur der He­a­der-Teil mit Ur­sprung und Ziel von Pa­ke­ten, son­dern auch de­ren Da­ten­in­halt in­spi­ziert. So prüft DPI bei­spiels­wei­se, auf wel­che An­wen­dung zu­ge­grif­fen und wel­che Art von

Da­ten über­mit­telt wird. Auf­grund die­ser In­for­ma­tio­nen las­sen sich in­tel­li­gen­te­re und de­tail­lier­te­re Richt­li­ni­en für die Fi­re­wall de­fi­nie­ren. Ne­ben der Ein­lass­kon­trol­le für Traf­fic kann DPI auch die Band­brei­te ein­schrän­ken, die be­stimm­te An­wen­dun­gen nut­zen dür­fen, oder sen­si­ble In­for­ma­tio­nen da­ran hin­dern, das si­che­re Netz zu ver­las­sen.

TLS/SSL-Ter­mi­na­ti­on: Traf­fic, der mit dem Ver­schlüs­se­lungs­pro­to­koll Trans­port Lay­er Se­cu­ri­ty (TLS) oder sei­nem Vor­gän­ger Se­cu­re So­ckets Lay­er (SSL) co­diert ist, kann durch DPI nicht ge­prüft wer­den, da der In­halt nicht les­bar ist. Ei­ni­ge NGFWs bie­ten des­halb die Mög­lich­keit, die­sen Traf­fic zu stop­pen, zu ent­schlüs­seln, zu in­spi­zie­ren und schließ­lich ei­ne zwei­te TLS/SSL-Ver­bin­dung zur Ziel­adres­se auf­zu­bau­en. So kön­nen bei­spiels­wei­se Mit­ar­bei­ter da­ran ge­hin­dert wer­den, in­ter­ne In­for­ma­tio­nen aus dem si­che­ren Netz nach au­ßen zu schi­cken, wäh­rend le­gi­ti­mer Traf­fic un­ge­hin­dert pas­sie­ren kann.

Sand­boxing: Ein­ge­hen­de E-Mails mit An­hän­gen kön­nen Schad­code ent­hal­ten. Mit Sand­boxing ist es ei­ner NGFW mög­lich, An­hän­ge und jeg­li­chen Code, den sie ent­hal­ten, in ei­ner ab­ge­schirm­ten Um­ge­bung aus­zu­füh­ren und fest­zu­stel­len, ob sie schäd­lich sind. Der Nach­teil da­bei: Sand­boxing fügt der Über­tra­gung – ähn­lich wie die Pr­o­xy-Fi­re­wall – ei­nen zu­sätz­li­chen Schritt hin­zu, der mit­un­ter viel Re­chen­leis­tung be­an­sprucht. Da­her kann hier die Per­for­mance lei­den.

Ei­ne NGFW kann auch noch an­de­re Fea­tu­res ent­hal­ten. So ist es mög­lich, Da­ten, die dem Sys­tem noch un­be­kannt sind, prä­ven­tiv in den Ent­schei­dungs­pro­zess der Fi­re­wall ein­zu­be­zie­hen. Ha­ben For­scher bei­spiels­wei­se die Si­gna­tur ei­ner neu­en Mal­wa­re iden­ti­fi­ziert, kann die NGFW die­se In­for­ma­ti­on be­zie­hen und Traf­fic, der die­se Si­gna­tur be­sitzt, her­aus­fil­tern. Neu­es­te Ent­wick­lun­gen er­wei­tern die Funk­tio­nen der NGFW kon­ti­nu­ier­lich und im­ple­men­tie­ren bei­spiels­wei­se kon­text­sen­si­ti­ven Schutz vor Ad­van­ced Per­sis­tent Th­re­ats (ATPs) oder un­ter­stüt­zen ex­pli­zit vir­tua­li­sier­te so­wie Cloud-Um­ge­bun­gen. Der Au­to­ma­ti­sie­rungs­grad steigt, so dass die IT schnel­ler auf Be­dro­hun­gen re­agie­ren kann und der Ma­nage­ment-Auf­wand ver­rin­gert wird.

Web Ap­p­li­ca­ti­on Fi­re­wall (WAF)

Die­se Art der Fi­re­wall sitzt zwi­schen We­bSer­vern und dem In­ter­net. Sie schützt vor be­stimm­ten HTML-An­grif­fen wie bei­spiels­wei­se Ze­ro-Day-Ex­ploits, SQL-In­jec­tion (SQLi), bei dem die Da­ten­bank über ei­ne Web-An­wen­dung aus­ge­le­sen und ma­ni­pu­liert wer­den kann, oder Cross-Site-Scrip­t­ing (XSS). Letz­te­re Me­tho­de nutzt ei­ne Si­cher­heits­lü­cke auf dem Cli­ent oder Ser­ver aus, um Schad­code in ver­trau­ens­wür­di­ge Um­ge­bun­gen ein­zu­bet­ten und dar­über In­ter­net-Sei­ten zu ma­ni­pu­lie­ren, Brow­ser zu über­neh­men oder ver­trau­li­che In­for­ma­tio­nen zu steh­len.

WAFs sind Hard­ware-, Soft­ware- oder Cloud­ba­siert ver­füg­bar. Es ist auch mög­lich, sie in An­wen­dun­gen di­rekt zu in­te­grie­ren, um zu prü­fen, ob je­der Cli­ent, der ver­sucht, ei­nen Ser­ver zu er­rei­chen, das auch darf. Da­bei wird klas­si­sches Black- oder Whi­te­lis­ting er­kann­ter Mus­ter ver­wen­det, was un­ter Um­stän­den zu Fal­se Po­si­ti­ves führt. Ak­tu­el­le WAF-Lö­sun­gen nut­zen un­ter an­de­rem selbst­ler­nen­de Funk­tio­nen, um auch bis­lang un­be­kann­te An­grif­fe zu er­ken­nen und ab­zu­weh­ren.

Mit ei­ner WAF kann die IT meh­re­re Si­cher­heits­lü­cken in An­wen­dun­gen, die hin­ter der Fi­re­wall lie­gen, gleich­zei­tig schlie­ßen. Zu­dem las­sen sich Alt­sys­te­me, die nicht mehr ak­tua­li­siert wer­den und da­mit an­fäl­lig sind, schüt­zen. Nach­tei­lig ist, dass falsch oder zu re­strik­tiv kon­fi­gu­rier­te WAF-Fil­ter den Be­trieb stö­ren kön­nen. Zu­dem wer­den An­wen­dun­gen, die ak­ti­ve In­hal­te auf Sei­ten des Cli­ents ein­set­zen (bei­spiels­wei­se Ja­va­script), un­ter Um­stän­den schlecht un­ter­stützt oder er­for­dern ei­nen er­heb­li­chen Kon­fi­gu­ra­ti­ons­auf­wand.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.