Sicherheit im Internet durch Firewalls

Eine Firewall wird eingesetzt, um ein sicheres Netzwerk von einem unsicheren abzugrenzen, beispielsweise das lokale Netzwerk eines Unternehmens von dem Internet. Dieses Sicherheitskonzept basiert auf einer Softwarekomponente und fungiert dabei als elektronische Barriere für entsprechend gesperrte Inhalte, kann aber auch zum Überprüfen von durchzulassenden Inhalten eingesetzt werden. Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen. Sie soll ausschließlich die definierten Regeln für die Netzwerkkommunikation umsetzen.

Einsatzszenarien für Firewalls

Firewalls können auf verschiedene Weise in Netzwerke integriert werden, abhängig von den Anforderungen an die Sicherheit und den Diensten, die im Netzwerk bereitgestellt werden müssen. Eine zentral positionierte Firewall ist die am häufigsten anzutreffende Installationsform einer Firewall, da sie einfach in bereits bestehende Netzwerke eingebunden werden kann. In einem solchen Szenario nennt man die Firewall auch „zweibeinige Firewall“, da sie Verbindungen in das Netzwerk zum Internet und zum lokalen Netzwerk hat. Die Firewall grenzt unmittelbar das gesamte lokale Netzwerk vom Internet ab. Bei einer entsprechend korrekt konfigurierten Firewall bietet dieses Szenario für das lokale Netzwerk einen sehr guten Schutz gegenüber dem Internet.

In besonders sicherheitsrelevanten Bereichen werden oftmals zwei voneinander völlig getrennte Firewalls eingesetzt, teilweise sogar von unterschiedlichen Herstellern. Diese Konstellation bietet eine noch höhere Sicherheit gegenüber einer zentralen Firewall, da für einen Einbruch in das lokale Netzwerk zwei Firewalls überwunden werden müssen. Zudem besteht hierbei die Möglichkeit zur Einrichtung eines Perimeter Netzwerks, das zwischen den beiden Firewalls liegt. Jede Übertragung zwischen dem Internet und dem lokalen Netzwerk muss demnach durch das Perimeter Netzwerk geschleust werden. Beide Netzwerke haben keine direkte Verbindung miteinander. Ein Perimeter Netzwerk lässt sich jedoch nur bilden, wenn die Firewall drei Schnittstellen besitzt. Eine zum Internet, eine in das Perimeter- und eine in das lokale Netzwerk.

Die wichtigsten Funktionskomponenten

Um die Schutzfunktion zu erfüllen, besitzen klassische Firewalls verschiedene Funktionskomponenten. Die Anzahl und der Feature Umfang der einzelnen Komponenten kann sich je nach Leistungsfähigkeit von Firewall- zu Firewall Lösung unterscheiden. Die Basisfunktionalität der Firewall bildet der Paketfilter. Er kann IP-Pakete anhand von Merkmalen wie IP-Absenderadressen, IP-Zieladressen und Ports filtern. Beherrscht der Paketfilter Stateful Packet Inspection, ist er zusätzlich in der Lage, den Zustand von IP-Verbindungen als Kriterium für die Paketfilterung heranzuziehen. Deep Packet Inspection wertet zusätzliche Informationen der in den IP-Paketen transportierten Protokolle aus und blockiert Pakete oder leitet die Daten auf Basis von Regeln weiter. Die Proxyfunktion in der Firewall übernimmt bei Netzwerkverbindungen die Rolle des Absenders und sendet alle Anfragen stellvertretend weiter. Der Proxy führt die komplette Kommunikation und ist in der Lage, Inhalte zu analysieren sowie zu beeinflussen. Beispielsweise kann ein Proxy verhindern, dass User aus einem internen Firmennetz nicht erwünschte Inhalte aus dem Internet laden. Der Content-Filter erweitert diese Möglichkeiten und lässt einen noch tieferen Blick in die Daten der Verbindung zu. In vielen Fällen terminiert die Firewall auch Virtual Private Network (VPN) Verbindungen. Über diese verschlüsselten Verbindungen wird es möglich, auf das hinter der Firewall gelegene Netzwerk aus dem öffentlichen Internet sicher zuzugreifen.

Möglichkeiten durch Firewalls

Der einzige Weg in das interne Netz führt kontrolliert über das Firewall-System, das als Pförtner fungiert. Diese damit verbundenen Möglichkeiten agieren als Vorteile dieses „Common Point of Trust“-Konzepts. Durch die reduzierte Funktionalität, die ein Firewall-System anbietet, existieren weniger Angriffspunkte für Angreifer aus einem unsicheren Netz. Der Aufwand für Sicherheitsmechanismen konzentriert sich auf das Firewall-System. Dadurch wird erreicht, dass die Rechnersysteme des zu schützenden Netzes nicht mehr von einem Rechnersystem aus dem unsicheren Netz, beispielsweise des Internets, angegriffen werden können, sondern Rechnersysteme von außerhalb durch das Firewall-System abgeblockt werden. Rechnersysteme können nicht mehr zum Ziel von Angreifern aus einem unsicheren Netz werden, wenn sie falsch installiert oder konfiguriert sind. Alle Sicherheitsmechanismen sind in dem Firewall-System konzentriert realisiert.

Für die Sicherheitsinfrastruktur ist eine Authentifizierung von Benutzern nur auf einem Firewall-System zu realisieren und nicht auf jedem einzelnen Rechnersystem im zu schützenden Netz. Für heterogene Rechnerlandschaften gibt es derzeit keine Konzepte und Realisierungen, wie eine Authentifizierung auf den unterschiedlichen Rechnerbetriebssystemen praktisch realisiert werden kann. Die Realisierung von Sicherheitsmechanismen in einem zentralen Firewall-System ist wesentlich effizienter als die Realisierung von Sicherheitsmechanismen auf jedem einzelnen Rechnersystem, das im zu schützenden Netz steht. Mit Hilfe eines zentralen Firewall-Systems kann die Sicherheitspolitik einer Organisation auf einfache Weise durchgesetzt werden. Zum Beispiel werden die Dienste und Protokolle, die über ein Firewall-System möglich sein sollen, an einer zentralen Stelle für alle Benutzer definiert und überprüft.

Grenzen von Firewalls

Ein Firewall-System bietet Sicherheitsdienste zur Abschottung gegen das unsichere Netz oder zur Kontrolle der Kommunikation zwischen dem unsicheren Netz und dem zu schützenden Netz. Das Firewall-System selbst hingegen bietet nur einen sehr geringen Schutz vor internen Angriffen. Ein Firewall-System schützt nämlich genau die Kommunikationsverbindungen, die darüber erfolgen. Gibt es Kommunikationsübergänge am Firewall-System vorbei (backdoors), hat das System keine Sicherheitswirkung mehr. Deshalb ist es absolut wichtig, dass keine weitere Verbindung zwischen dem unsicheren Netz und dem zu schützenden Netz besteht.

Firewall-Systeme, die die Sicherheitsdienste für die Kommunikation im Internet und Intranet bereitstellen, sind komplexe technische Sicherheitsmaßnahmen. Dennoch können auch aufwendige Firewall-Systeme keine hundertprozentige Sicherheit gewährleisten. Ein Firewall-System kann nur die Sicherheitsdienste erbringen, die eingerichtet sind. Deshalb ist es von besonderer Bedeutung, dass eine Sicherheitspolitik erarbeitet wird, die darstellt, welche Ressourcen (Rechnersysteme sowie Kommunikationseinrichtungen und Daten) im zu schützenden Netz einen hohen Schutzbedarf haben und wie sie geschützt werden sollen. Außerdem muss definiert werden, wie die Sicherheitsmechanismen für die Aufrechterhaltung des sicheren Betriebs eines Firewall-Systems periodisch überprüft werden.

Wenn wir andere Unternehmen durch unsere Erfahrungen und unser Knowhow unterstützen können, dürfen Sie sich gerne bei der Pusch-Data GmbH melden. Wir stehen Ihnen hierbei jederzeit zur Verfügung.