Wozu ist eine Firewall nützlich und worauf sollte bei der Anschaffung geachtet werden?

Firewall? Hat die nicht schon mein Router? Warum soll ich mir noch ein zusätzliches Gerät zulegen und wo bringt das mehr Sicherheit?

Um diese Fragen zu beantworten werde ich das Thema wohl etwas genauer beleuchten müssen. Der Begriff Firewall (zu deutsch „Brandmauer“) bezeichnet in der IT Geräte oder Software, welche Netze voneinander trennen. Meist sind dies das Internet, dort wo die ganzen fiesen Sachen lauern, und das lokale Netz, wo alles sicher sein soll. Diese Idee hat man zum Glück schon vor Jahren über Bord geworfen, da sie ziemlich realitätsfern ist. Davon abgesehen ist Firewall ein Oberbegriff für eine ganze Reihe von Systemen mit ziemlich verschiedenen Funktionsumfang. Ein Unterscheidungsmerkmal ist, ob es sich um eine sogenannte Desktop- oder eine Netzwerk Firewall handelt. Zu dem Thema gibt es bereits reichlich Diskussionen, auch wenn Desktop oder Personal Firewalls durchaus Ihre Berechtigung haben können sie eine Netzwerkfirewall nicht ersetzen, allerdings durchaus ergänzen. In diesem Artikel werde ich mich aber ausschließlich mit Netzwerk Firewall Systemen beschäftigen.

In den meisten aktuellen Routern für den Heimgebrauch befinden sich entweder Portfilter oder SPI (Statefull Inspektion) Firewalls, diese sind eine verbesserte Variante von Portfiltern. Vereinfacht gesagt lassen diese keine Zugriffe vom Internet auf das lokale Netz zu. Von innen nach außen ist oft alles erlaubt. Der Begriff Statefull Inspektion kommt daher, das sich das System merkt, welche Verbindungen von innen initialisiert wurden und die zugehörigen Daten ebenfalls zulässt. Damit sind wir schon bei der großen Schwachstelle. Befindet sich erst einmal Schadsoftware oder ein Angreifer im Netz, können diese ungehindert agieren und problemlos Daten versenden oder über einen Tunnel sogar das komplette Netz für Zugriffe von außen öffnen. Dafür braucht es noch nicht mal spezielle Software, Standard Tools und Netzwerk Grundwissen sind völlig ausreichend!

Etwas besser ausgestattete Firewall Systeme bieten die Möglichkeit, von innen nach außen nur bestimmte Netzwerkports und Geräte freizuschalten. Ziel soll sein, die Anzahl der möglichen Dienste einzuschränken. Das fällt für mich allerdings in die Rubrik „nice try“, wirklich netter Versuch. Auf Grund der Konstellation in kleinen oder Home Netzwerken werden meist doch wieder neuralgische Ports, zum Beispiel Port 25 für den Mailversand über SMTP, für alle Geräte freigeschaltet und können genau so gut von Schadsoftware zum Versand massenhafter Spammails genutzt werden. Zusätzlich sind diese Geräte systembedingt nicht in der Lage zu erkennen, was für Daten auf den jeweiligen Ports übertragen werden. Somit kann also am Ende jedes Protokoll oder auch virenbehaftete Inhalte die Firewall mit wenig Mehraufwand passieren, indem es auf einen anderen Port, zum Beispiel den eines Webservers, wechselt.

Um dies zu verhindern braucht es also die Möglichkeit, in die Datenpakete hineinzuschauen, um festzustellen, ob diese auch nur legale und erwünschte Daten übertragen. Umgesetzt wird dies in so genannten Application Level Firewalls, meist über Proyx Server. Diese arbeiten als Stellvertreter zwischen Client und dem entfernten Server, so das in der Regel keine direkte Verbindung in das Internet zu Stande kommt.
An diesem Punkt besteht nun auch die Möglichkeit, den Inhalt der Daten zu prüfen und Schadsoftware oder unerwünschte Inhalte herauszufiltern. Das bringt natürlich einen sehr großen Sicherheitsgewinn.

Nützlich ist in der Regel auch ein Content Filter, welcher erlaubt, Internetinhalte bestimmter Kategorien zu blockieren. Die Umsetzung ist ein recht komplexes Thema, deshalb gibt es auch verschiedene Ansätze und entsprechend unterschiedlich fallen auch die Ergebnisse aus.

Diese und noch ein paar weitere Funktionen, wie zum Beispiel VPN Server, IDS und IPS finden sich in modernen Firewallsystemen, welche unter dem Begriff UTMs (Unified Threat Management) zusammengefasst werden. Zielgruppe der Hersteller sind meist Unternehmen, wobei aus meiner Sicht auch private Haushalte sehr davon profitieren können. Aus der Überlegung heraus ist die Idee entstanden, ein Konzept für ein komplettes System auf Basis von Open Source Komponenten zu erstellen, welches von den Kosten her auch für den privaten Gebrauch attraktiv ist.

Zum Abschluss noch ein paar generelle Worte zum Thema IT-Sicherheit. Im Prinzip kann Sicherheit nie allein durch den Einsatz von Hard- oder Software erreicht werden, um ein gutes Sicherheitsniveau zu erreichen sollte ein Gesamtkonzept erstellt werden, bei dem auch die Einweisung und Schulung der Benutzer ein wichtiger Bestandteil ist. Darüber hinaus ist Sicherheit auch kein Zustand, sondern ein Prozess. Also einmal in Sicherheit investieren und dann war es das funktioniert leider nicht. Wenn ich hier trotzdem den Einsatz eines speziellen Bausteins empfehle dann weil ich der Meinung bin, das damit schon vielen Benutzern geholfen ist, wenn die größten Sicherheitslöcher und Einfallstore geschlossen sind.Auch der Rest der Internetgemeinde kann davon profitieren, wenn nicht mehr unzählige befallene Systeme als „Zombies“ agieren und massig Spam und Schadsoftware versenden.

In größeren und komplexeren Umgebungen empfehle ich auf jeden Fall sich fachliche Hilfe zu holen und sich zu aller erst ein Sicherheitskonzept erstellen zu lassen.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert