Firewall
Eine unverstandene Sicherheitslösung hat keinen Effekt, da sie unbewußt immer mit einer gewissen Laxheit kompensiert wird (Risikokompensation).
Die häufigste Frage die wir gestellt bekommen: Welche Firewall ist die Beste?
Die Situation ist bei jedem anders: die technischen Merkmale und letztendlich die Summe der Randbedingungen und persönliche Vorlieben spielen hier eine große Rolle in der Beantwortung der Frage. Sicher ist jedenfalls: Firewalls die mit besonders bunten Bildchen “Alarm” schlagen gehören nicht zu den Top-Produkten der Firewalltechnik.
Grundsätzlich wird zwischen zwei verschiedene Arten von Firewalls unterschieden: Externe Firewalls und Personal Firewalls. Wie “gut” eine Firewall dann tatsächlich schützt hängt von der Art der Firewall, der Bedrohungslage und der implementierten Firewall-Technologie ab.
Externe Firewalls
Als externe Firewall werden Geräte bezeichnet, welche ausschließlich die Aufgabe der Firewall übernehmen und beide Netzsegemente (Internet und lokales Netzwerk) voneinander trennen. Eine auf einem Server installierte Firewallsoftware hingegen fällt unter die Kategorie “Personal Firewalls”.
Bridging-Firewall
Die Bridging Firewall ist dafür gedacht, zwei physikalisch getrennte Netze miteinander zu verbinden. Sie funktioniert ähnlich wie ein “Switch” und leitet nur dann Daten weiter, wenn die adressierte IP-Adresse sich jeweils im anderen Netz befindet. Alle durchgeleiteten Daten werden durch die Firewall anhand eines Regelwerkes geprüft (z.B. Stateful Packet Inspection). Der Vorteil der Bridging-Firewall besteht darin, daß sie keine eigene IP-Adresse hat und somit quasi “unsichtbar” ist. Dadurch wird Sie auf direkter Ebene unangreifbar.
Routing-Firewall
Dies ist die häufigste Form einer Firewall. Eine Routing Firewall übernimmt die Adressumsetzung (NAT) zwischen zwei Netzen. Im Unterschied zur Bridging-Firewall ist die Routing-Firewall im Netz sichtbar und kann somit direkt angegriffen werden. Routing-Firewalls werden häufig in DSL-Routern mitgeliefert. Im NAT-Modus verdeckt die Routing-Firewall die interne Netzstruktur.
Proxy-Firewall
Eine Proxy-Firewall tritt zwischen Quell- und Zielsystem; das Quellsystem wird mit dem Proxy verbunden, der Proxy baut eine eigene Verbindung von sich zum Zielsystem auf. Die Kommunikation wird also nicht nur einfach weitergeleitet. Dadurch kann die Proxy-Firewall den Inhalt von Netzpaketem zusammenhängend analysieren, Anpassungen vornehmen oder die Weiterleitung aufgrund des Inhaltes komplett verweigern.
Personal Firewalls
Als Personal Firewall oder häufig auch “Desktop Firewall” genannt, werden Softwarelösungen bezeichnet, welche direkt auf dem zu schützenden Computer installiert werden. Der direkte Zugriff der Software auf den zu überwachenden Computer erweitert zwar deren Möglichkeiten ungemein, leider gilt dies aber auch umgekehrt: Programme die auf dem selben Computer laufen haben die Möglichkeit die Software-Firewall zu manipulieren und zu umgehen; aufgrund von Fehlern im Programmcode der Firewall kann diese den Rechner noch zusätzlich unsicher machen.
Aus diesem Grund ist die Schutzwirkung von Personal Firewalls unter Fachleuten sehr umstritten, wenn es darum geht, diese als “einzige Lösung” einzusetzen. Als zusätzlicher Schutz zu einer externen Firewall sind Personal Firewalls jedoch empfehlenswert!
Firewall-Technologien
Im folgenden geben wir Ihnen einen kurzen Überblick über die wichtigsten Technologien, welche in Firewalls zum Einsatz kommen.
Je mehr Technologien in einer Firewall implementiert sind, desto höher der Schutz den die Firewall gewährleistet, vorausgesetzt diese sind korrekt konfiguriert.
Paketfilter
Dies ist die Basisfunktionalität einer Firewall. Datenpakete werden anhand von Regeln abhängig von Quell und Zieladresse entweder durchgelassen oder nicht.
Stateful Inspection
Eine zustandsgesteuerte Filterung erkennt, ob das Quellsystem Daten vom Zielsystem angefordert hat und läßt diese nur durch, wenn diese auch tatsächlich erwünscht sind.
Application Layer Firewall / Proxy Firewall
Zusätzlich zu den Paketfiltern werden bei einer Application Layer Firewall auch die Inhalte der Daten analysiert. So kann bereits an der Firewall ein Viruscheck vorgenommen werden. Die Application Layer Firewall wird auch häufig als “Deep Inspection” bezeichnet.
Contentfilter
Über diese Technik lassen sich unerwünschte Inhalte herausfiltern. So können z.B. ActiveX oder JavaScript-Inhalte aus Webseiten ebenso entfernt werden, wie auch verhindert werden, daß vertrauliche Informationen aus dem eigenen Netz per Email verschickt werden.
Intrusion Detection / Intrusion Prevention
Beide Systeme versuchen Einbruchsversuche zu erkennen; Die Intrusion Detection registriert diese und schlägt Alarm, während die Intrusion Prevention aktiv versucht den Angriff zu unterbinden.
Antispoofing
Eine gängige Angriffsform ist das IP-Spoofing. Hierbei werden gefälschte IP-Adressen genutzt. Eine gute Firewall sollte solche Angriffe erkennen und unterbinden.
Angriffsversuche
Auf Basis von 3,5 Millionen Angriffsversuchen in einem Zeitraum von 60 Tagen, die wir bei unseren Kunden abwenden konnten, haben wir eine Checkliste erarbeitet, welche Angriffe Ihre Firewall unbedingt verhindern sollte:
Checkliste für Ihre Firewall:
- Schutz vor SYN-Flooding Angriffen
- Erkennung fehlerhafter TCP-Pakete
- Schutz vor Ping of Death-Attacken
- Schutz vor Smurf-Attacken
- Schutz vor Teardrop-Attacken
- Schutz vor Land-Attacken
- Port Scan Protection
- UDP Flood Protection
- IP based Session Limiting
- Large ICMP packet protection
Wenn Sie eine dieser nicht mit einem klaren “JA” beantwortet haben, besteht bei Ihnen womöglich ein Sicherheitsproblem. Bitte sprechen Sie uns an!