• IT-Karriere:
  • Services:

Mit einer Firewall die Datenübertragung steuern

Die SPI-Funktion gehört bei vielen Firewalls zum Leistungsumfang. Grundsätzlich untersuchen Firewalls im Betrieb sämtliche übertragenen Datenpakete und stellen anhand zuvor definierter Regeln fest, ob die Übertragung dieser Pakete zulässig ist.

Stellenmarkt
  1. Hays AG, Berlin
  2. Bank of Scotland, Berlin Mitte

Die einfachste Form sind sogenannte Paketfilter-Firewalls, die es schon seit langem gibt. Bei ihrer Konfiguration legen die zuständigen Mitarbeiter Policies an, die festlegen, welche Datenübertragungen erlaubt sind und welche nicht. Diese Regeln bestehen üblicherweise aus der Datenquelle, dem Übertragungsziel, dem verwendeten Port, dem Protokoll und - auf leistungsfähigen Systemen - den Usern sowie der Uhrzeit. Damit lassen sich beispielsweise die oben genannten SSH-Zugriffe auf das LAN von bestimmten Rechnern im Internet aus erlauben und eben nicht von allen. Darüber hinaus ist es auch möglich, diesen Zugriff nur zu bestimmten Zeiten zuzulassen oder ihn nur bestimmten Benutzern zu gestatten.

Über vergleichbare Regeln können die Administratoren beispielsweise auch erlauben, dass nur bestimmte Rechner Mails versenden und empfangen dürfen und dass das Surfen im Web nur außerhalb der Arbeitszeiten funktioniert. Firewalls geben den IT-Verantwortlichen also sehr mächtige Werkzeuge in die Hand, um ihre Datenübertragungen zu steuern.

SPI-fähige Firewalls gehen noch über die genannte Funktionalität hinaus. Sie analysieren wie gesagt nicht nur, ob die jeweilige Datenübertragung zulässig ist, sondern stellen auch fest, ob die Pakete zu einer zulässigen Verbindung gehören.

Moderne Firewalls können Webseiten und Mails auseinanderhalten

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
Weitere IT-Trainings

Die oben genannten Paketfilter, die die Datenübertragungen auf Basis von Quelle, Ziel und Port untersuchen, stellen die Grundlage der Firewalls dar. Heutzutage reichen sie zum Sicherstellen eines ausreichenden Security-Niveaus aber nicht mehr aus. Die meisten Datenübertragungen finden jetzt nämlich über die Ports 80 und 443 für HTTP und HTTPS statt. Diese sind in fast allen Firewalls offen, damit die Anwender im Internet surfen können. Leider läuft inzwischen aber nicht mehr nur der Surf-Verkehr über diese Ports, sondern auch viele andere Dienste, wie Messenger und Webmail, die häufig auch ausgenutzt werden, um Malware zu verteilen.

Um diese Übertragungen abzusichern, kommen Next Generation Firewalls (NGFW) zum Einsatz. Diese untersuchen die Datenübertragungen nicht nur auf Basis der Pakete, der Quellen, der Ziele und der Ports, sondern berücksichtigen auch die übertragenen Applikationen. Sie arbeiten also auf Layer 7 des OSI-Schichtenmodells.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)

Das versetzt sie in die Lage herauszufinden, ob es sich bei einem Datentransfer über Port 443 um eine übertragene Webseite oder eine Mail handelt. Verfügen die NGDWs über eine aktuelle Anti-Virus-Lizenz und ist diese Funktion aktiv, so können sie darüber hinaus auch gleich prüfen, ob in die Mail eine Schadsoftware eingebunden wurde und den Datentransfer in diesem Fall blocken.

Auch NGFWs arbeiten mit Regeln. In den Application-Policies legen die Administratoren beispielsweise fest, dass der Zugriff auf Web-Mail-Systeme vom Arbeitsplatz aus untersagt ist, oder dass die Mitarbeiter nur während der Mittagspause twittern dürfen. Moderne NGFWs verfügen meist noch über weitere Funktionen, wie ein Intrusion-Protection-System, VPN-Features und Ähnliches.

UTM-Systeme als Paketlösung

Firewalls und NGFWs arbeiten üblicherweise als Appliance oder virtuelle Appliance. Da bietet es sich an, nicht nur die oben genannten Firewall-Funktionalitäten auf einer solchen Lösung zu implementieren, sondern auch andere Maßnahmen zum Schutz vor Bedrohungen. Dabei kommen dann so genannte Unified-Threat-Management-Produkte (UTM) heraus. Sie umfassen in der Regel neben den Firewall-Funktionen auch Spam- und Content-Filter, VPNs, Antivirus-Produkte sowie Intrusion Detection- und Intrusion-Protection-Systeme.

Die Grenzen zwischen den UTM-Lösungen und den NGFW-Appliances sind fließend, da es ja auch NGFWs mit Antivirus- und Intrusion-Protection-Funktionen gibt. Generell kann man sagen, dass UTM-Produkte den Anspruch erheben, alle gebotenen Features von einer zentralen Stelle aus zu verwalten und dabei das Management so einfach wie möglich zu machen, beispielsweise durch viele Konfigurations-Wizards und Dashboards zum Monitoring des Systems.

NGFWs erheben diesen Anspruch nicht, bei ihnen liegt statt der Einfachheit der Bedienung eher die Funktionalität im Vordergrund. UTM-Produkte wenden sich daher in der Praxis hauptsächlich an kleine und mittelgroße Unternehmen ohne dedizierten Security-Spezialisten, während NGFWs in großen Umgebungen zum Einsatz kommen. Das zeigt sich auch in der Leistungsfähigkeit der Hardware.

"Der Schutz, der heutzutage von einer Firewall respektive UTM-Appliance verlangt wird, umfasst mehr als das simple Abschotten interner Dienste", sagte der Geschäftsführer des Systemhauses Jakobsoftware, Jürgen Jakob, zu Golem.de. "Die Sicherheitslösung soll möglichst alles unter einem Dach schützen." So könnten bestimmte UTMs auch als Mailserver E-Mails verschlüsseln respektive zertifizieren und weiterleiten sowie eingehende Mails wieder entschlüsseln. "So muss der Administrator auf den Arbeitsstationen keine komplizierte Installation der Zertifikate vornehmen", erklärte Jakob.

Ein Internet-Router schafft mit NAT-Fähigkeiten also kein ausreichendes Sicherheitsniveau, um Unternehmensnetze zu schützen. Erst Security Appliances, die die Administratoren in die Lage versetzen, anhand von Regeln genau festzulegen, welche Dienste und Anwendungen von welchen Stationen aus zu welchem Zeitpunkt zugelassen werden sollen, helfen dabei, die Verbreitung von Schadcode zu bekämpfen, die Datenströme richtig zu lenken und die Daten im Unternehmen zu schützen. Ein Router stellt folglich keine Alternative zu einer Security Appliance dar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Auch kleine Netze brauchen eine FirewallDer Router ist eine Türkette, die Firewall eine Hochsicherheitstür 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. (u. a. PC-Gehäuse bis -50% und Weekend Sale)
  2. (u. a. Surviving Mars - First Colony Edition für 5,29€, Monopoly - Nintendo Switch Download Code...
  3. (u. a. Patriot Viper 4 8-GB-Kit DDR4-3000 für 38,99€ + 6,99€ Versand statt 55,14€ inkl...
  4. 139,90€ (Bestpreis mit Cyberport. Vergleichspreis ca. 160€)

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte)

Intel leistete in den 70ern Pionierarbeit und wäre dennoch fast gescheitert. Denn ihren bahnbrechenden 4-Bit-Mikroprozessor wurden sie erst gar nicht los.

Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /