Mit einer Firewall die Datenübertragung steuern

Die SPI-Funktion gehört bei vielen Firewalls zum Leistungsumfang. Grundsätzlich untersuchen Firewalls im Betrieb sämtliche übertragenen Datenpakete und stellen anhand zuvor definierter Regeln fest, ob die Übertragung dieser Pakete zulässig ist.

Stellenmarkt
  1. Anwendungs- und Systembetreuer*in (m/w/d)
    Max-Delbrück-Centrum für Molekulare Medizin (MDC), Berlin
  2. Global Senior Data Manager (m/f/d) - Consumer Data
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
Detailsuche

Die einfachste Form sind sogenannte Paketfilter-Firewalls, die es schon seit langem gibt. Bei ihrer Konfiguration legen die zuständigen Mitarbeiter Policies an, die festlegen, welche Datenübertragungen erlaubt sind und welche nicht. Diese Regeln bestehen üblicherweise aus der Datenquelle, dem Übertragungsziel, dem verwendeten Port, dem Protokoll und - auf leistungsfähigen Systemen - den Usern sowie der Uhrzeit. Damit lassen sich beispielsweise die oben genannten SSH-Zugriffe auf das LAN von bestimmten Rechnern im Internet aus erlauben und eben nicht von allen. Darüber hinaus ist es auch möglich, diesen Zugriff nur zu bestimmten Zeiten zuzulassen oder ihn nur bestimmten Benutzern zu gestatten.

Über vergleichbare Regeln können die Administratoren beispielsweise auch erlauben, dass nur bestimmte Rechner Mails versenden und empfangen dürfen und dass das Surfen im Web nur außerhalb der Arbeitszeiten funktioniert. Firewalls geben den IT-Verantwortlichen also sehr mächtige Werkzeuge in die Hand, um ihre Datenübertragungen zu steuern.

SPI-fähige Firewalls gehen noch über die genannte Funktionalität hinaus. Sie analysieren wie gesagt nicht nur, ob die jeweilige Datenübertragung zulässig ist, sondern stellen auch fest, ob die Pakete zu einer zulässigen Verbindung gehören.

Moderne Firewalls können Webseiten und Mails auseinanderhalten

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
Weitere IT-Trainings

Die oben genannten Paketfilter, die die Datenübertragungen auf Basis von Quelle, Ziel und Port untersuchen, stellen die Grundlage der Firewalls dar. Heutzutage reichen sie zum Sicherstellen eines ausreichenden Security-Niveaus aber nicht mehr aus. Die meisten Datenübertragungen finden jetzt nämlich über die Ports 80 und 443 für HTTP und HTTPS statt. Diese sind in fast allen Firewalls offen, damit die Anwender im Internet surfen können. Leider läuft inzwischen aber nicht mehr nur der Surf-Verkehr über diese Ports, sondern auch viele andere Dienste, wie Messenger und Webmail, die häufig auch ausgenutzt werden, um Malware zu verteilen.

Um diese Übertragungen abzusichern, kommen Next Generation Firewalls (NGFW) zum Einsatz. Diese untersuchen die Datenübertragungen nicht nur auf Basis der Pakete, der Quellen, der Ziele und der Ports, sondern berücksichtigen auch die übertragenen Applikationen. Sie arbeiten also auf Layer 7 des OSI-Schichtenmodells.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)

Das versetzt sie in die Lage herauszufinden, ob es sich bei einem Datentransfer über Port 443 um eine übertragene Webseite oder eine Mail handelt. Verfügen die NGDWs über eine aktuelle Anti-Virus-Lizenz und ist diese Funktion aktiv, so können sie darüber hinaus auch gleich prüfen, ob in die Mail eine Schadsoftware eingebunden wurde und den Datentransfer in diesem Fall blocken.

Auch NGFWs arbeiten mit Regeln. In den Application-Policies legen die Administratoren beispielsweise fest, dass der Zugriff auf Web-Mail-Systeme vom Arbeitsplatz aus untersagt ist, oder dass die Mitarbeiter nur während der Mittagspause twittern dürfen. Moderne NGFWs verfügen meist noch über weitere Funktionen, wie ein Intrusion-Protection-System, VPN-Features und Ähnliches.

UTM-Systeme als Paketlösung

Firewalls und NGFWs arbeiten üblicherweise als Appliance oder virtuelle Appliance. Da bietet es sich an, nicht nur die oben genannten Firewall-Funktionalitäten auf einer solchen Lösung zu implementieren, sondern auch andere Maßnahmen zum Schutz vor Bedrohungen. Dabei kommen dann so genannte Unified-Threat-Management-Produkte (UTM) heraus. Sie umfassen in der Regel neben den Firewall-Funktionen auch Spam- und Content-Filter, VPNs, Antivirus-Produkte sowie Intrusion Detection- und Intrusion-Protection-Systeme.

Die Grenzen zwischen den UTM-Lösungen und den NGFW-Appliances sind fließend, da es ja auch NGFWs mit Antivirus- und Intrusion-Protection-Funktionen gibt. Generell kann man sagen, dass UTM-Produkte den Anspruch erheben, alle gebotenen Features von einer zentralen Stelle aus zu verwalten und dabei das Management so einfach wie möglich zu machen, beispielsweise durch viele Konfigurations-Wizards und Dashboards zum Monitoring des Systems.

NGFWs erheben diesen Anspruch nicht, bei ihnen liegt statt der Einfachheit der Bedienung eher die Funktionalität im Vordergrund. UTM-Produkte wenden sich daher in der Praxis hauptsächlich an kleine und mittelgroße Unternehmen ohne dedizierten Security-Spezialisten, während NGFWs in großen Umgebungen zum Einsatz kommen. Das zeigt sich auch in der Leistungsfähigkeit der Hardware.

"Der Schutz, der heutzutage von einer Firewall respektive UTM-Appliance verlangt wird, umfasst mehr als das simple Abschotten interner Dienste", sagte der Geschäftsführer des Systemhauses Jakobsoftware, Jürgen Jakob, zu Golem.de. "Die Sicherheitslösung soll möglichst alles unter einem Dach schützen." So könnten bestimmte UTMs auch als Mailserver E-Mails verschlüsseln respektive zertifizieren und weiterleiten sowie eingehende Mails wieder entschlüsseln. "So muss der Administrator auf den Arbeitsstationen keine komplizierte Installation der Zertifikate vornehmen", erklärte Jakob.

Ein Internet-Router schafft mit NAT-Fähigkeiten also kein ausreichendes Sicherheitsniveau, um Unternehmensnetze zu schützen. Erst Security Appliances, die die Administratoren in die Lage versetzen, anhand von Regeln genau festzulegen, welche Dienste und Anwendungen von welchen Stationen aus zu welchem Zeitpunkt zugelassen werden sollen, helfen dabei, die Verbreitung von Schadcode zu bekämpfen, die Datenströme richtig zu lenken und die Daten im Unternehmen zu schützen. Ein Router stellt folglich keine Alternative zu einer Security Appliance dar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Auch kleine Netze brauchen eine FirewallDer Router ist eine Türkette, die Firewall eine Hochsicherheitstür 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...



Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Elektrisches Showcar: Maybach hat Solarzellen und durchsichtige Motorhaube
    Elektrisches Showcar
    Maybach hat Solarzellen und durchsichtige Motorhaube

    Virgil Abloh und Mercedes-Benz haben einen solarbetriebenen, elektrischen Maybach mit transparenter Motorhaube als Showcar entworfen.

  2. Nvidia Turing: Die Geforce RTX 2060 mit 12 GByte ist da
    Nvidia Turing
    Die Geforce RTX 2060 mit 12 GByte ist da

    Doppelter Videospeicher plus Super-Gene: Die Geforce RTX 2060 mit 12 GByte soll eine günstigere Alternative zur Geforce RTX 3060 darstellen.

  3. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" Curved QLED 240Hz 1.149€) • Zurück in die Zukunft Trilogie 4K 31,97€ • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit 3600 73,99€) • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn [Werbung]
    •  /