• IT-Karriere:
  • Services:

Mit einer Firewall die Datenübertragung steuern

Die SPI-Funktion gehört bei vielen Firewalls zum Leistungsumfang. Grundsätzlich untersuchen Firewalls im Betrieb sämtliche übertragenen Datenpakete und stellen anhand zuvor definierter Regeln fest, ob die Übertragung dieser Pakete zulässig ist.

Stellenmarkt
  1. Infokom GmbH, Karlsruhe
  2. ARTE Deutschland TV GmbH, Baden-Baden

Die einfachste Form sind sogenannte Paketfilter-Firewalls, die es schon seit langem gibt. Bei ihrer Konfiguration legen die zuständigen Mitarbeiter Policies an, die festlegen, welche Datenübertragungen erlaubt sind und welche nicht. Diese Regeln bestehen üblicherweise aus der Datenquelle, dem Übertragungsziel, dem verwendeten Port, dem Protokoll und - auf leistungsfähigen Systemen - den Usern sowie der Uhrzeit. Damit lassen sich beispielsweise die oben genannten SSH-Zugriffe auf das LAN von bestimmten Rechnern im Internet aus erlauben und eben nicht von allen. Darüber hinaus ist es auch möglich, diesen Zugriff nur zu bestimmten Zeiten zuzulassen oder ihn nur bestimmten Benutzern zu gestatten.

Über vergleichbare Regeln können die Administratoren beispielsweise auch erlauben, dass nur bestimmte Rechner Mails versenden und empfangen dürfen und dass das Surfen im Web nur außerhalb der Arbeitszeiten funktioniert. Firewalls geben den IT-Verantwortlichen also sehr mächtige Werkzeuge in die Hand, um ihre Datenübertragungen zu steuern.

SPI-fähige Firewalls gehen noch über die genannte Funktionalität hinaus. Sie analysieren wie gesagt nicht nur, ob die jeweilige Datenübertragung zulässig ist, sondern stellen auch fest, ob die Pakete zu einer zulässigen Verbindung gehören.

Moderne Firewalls können Webseiten und Mails auseinanderhalten

Die oben genannten Paketfilter, die die Datenübertragungen auf Basis von Quelle, Ziel und Port untersuchen, stellen die Grundlage der Firewalls dar. Heutzutage reichen sie zum Sicherstellen eines ausreichenden Security-Niveaus aber nicht mehr aus. Die meisten Datenübertragungen finden jetzt nämlich über die Ports 80 und 443 für HTTP und HTTPS statt. Diese sind in fast allen Firewalls offen, damit die Anwender im Internet surfen können. Leider läuft inzwischen aber nicht mehr nur der Surf-Verkehr über diese Ports, sondern auch viele andere Dienste, wie Messenger und Webmail, die häufig auch ausgenutzt werden, um Malware zu verteilen.

Um diese Übertragungen abzusichern, kommen Next Generation Firewalls (NGFW) zum Einsatz. Diese untersuchen die Datenübertragungen nicht nur auf Basis der Pakete, der Quellen, der Ziele und der Ports, sondern berücksichtigen auch die übertragenen Applikationen. Sie arbeiten also auf Layer 7 des OSI-Schichtenmodells.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)

Das versetzt sie in die Lage herauszufinden, ob es sich bei einem Datentransfer über Port 443 um eine übertragene Webseite oder eine Mail handelt. Verfügen die NGDWs über eine aktuelle Anti-Virus-Lizenz und ist diese Funktion aktiv, so können sie darüber hinaus auch gleich prüfen, ob in die Mail eine Schadsoftware eingebunden wurde und den Datentransfer in diesem Fall blocken.

Auch NGFWs arbeiten mit Regeln. In den Application-Policies legen die Administratoren beispielsweise fest, dass der Zugriff auf Web-Mail-Systeme vom Arbeitsplatz aus untersagt ist, oder dass die Mitarbeiter nur während der Mittagspause twittern dürfen. Moderne NGFWs verfügen meist noch über weitere Funktionen, wie ein Intrusion-Protection-System, VPN-Features und Ähnliches.

UTM-Systeme als Paketlösung

Firewalls und NGFWs arbeiten üblicherweise als Appliance oder virtuelle Appliance. Da bietet es sich an, nicht nur die oben genannten Firewall-Funktionalitäten auf einer solchen Lösung zu implementieren, sondern auch andere Maßnahmen zum Schutz vor Bedrohungen. Dabei kommen dann so genannte Unified-Threat-Management-Produkte (UTM) heraus. Sie umfassen in der Regel neben den Firewall-Funktionen auch Spam- und Content-Filter, VPNs, Antivirus-Produkte sowie Intrusion Detection- und Intrusion-Protection-Systeme.

Die Grenzen zwischen den UTM-Lösungen und den NGFW-Appliances sind fließend, da es ja auch NGFWs mit Antivirus- und Intrusion-Protection-Funktionen gibt. Generell kann man sagen, dass UTM-Produkte den Anspruch erheben, alle gebotenen Features von einer zentralen Stelle aus zu verwalten und dabei das Management so einfach wie möglich zu machen, beispielsweise durch viele Konfigurations-Wizards und Dashboards zum Monitoring des Systems.

NGFWs erheben diesen Anspruch nicht, bei ihnen liegt statt der Einfachheit der Bedienung eher die Funktionalität im Vordergrund. UTM-Produkte wenden sich daher in der Praxis hauptsächlich an kleine und mittelgroße Unternehmen ohne dedizierten Security-Spezialisten, während NGFWs in großen Umgebungen zum Einsatz kommen. Das zeigt sich auch in der Leistungsfähigkeit der Hardware.

"Der Schutz, der heutzutage von einer Firewall respektive UTM-Appliance verlangt wird, umfasst mehr als das simple Abschotten interner Dienste", sagte der Geschäftsführer des Systemhauses Jakobsoftware, Jürgen Jakob, zu Golem.de. "Die Sicherheitslösung soll möglichst alles unter einem Dach schützen." So könnten bestimmte UTMs auch als Mailserver E-Mails verschlüsseln respektive zertifizieren und weiterleiten sowie eingehende Mails wieder entschlüsseln. "So muss der Administrator auf den Arbeitsstationen keine komplizierte Installation der Zertifikate vornehmen", erklärte Jakob.

Ein Internet-Router schafft mit NAT-Fähigkeiten also kein ausreichendes Sicherheitsniveau, um Unternehmensnetze zu schützen. Erst Security Appliances, die die Administratoren in die Lage versetzen, anhand von Regeln genau festzulegen, welche Dienste und Anwendungen von welchen Stationen aus zu welchem Zeitpunkt zugelassen werden sollen, helfen dabei, die Verbreitung von Schadcode zu bekämpfen, die Datenströme richtig zu lenken und die Daten im Unternehmen zu schützen. Ein Router stellt folglich keine Alternative zu einer Security Appliance dar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Auch kleine Netze brauchen eine FirewallDer Router ist eine Türkette, die Firewall eine Hochsicherheitstür 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. (u. a. This War of Mine für 4,75€, Children of Morta für 11,99€, Frostpunk für 9,99€, Beat...
  2. 64,99€
  3. 34,99€
  4. 15,49€

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Computer: Gebrauchsanleitung des Zuse Z4 gefunden
Computer
Gebrauchsanleitung des Zuse Z4 gefunden

Die Anleitung für den Zuse Z4 galt lange als verschollen, bis sie an einer ehemaligen Wirkungsstätte des Supercomputers der 40er und 50er Jahre entdeckt worden ist.


    Streaming: Amazon zeigt zwei neue Fire TV Sticks
    Streaming
    Amazon zeigt zwei neue Fire TV Sticks

    Amazon erweitert das Sortiment der Fire TV Sticks. Der Einstieg in die Streaming-Welt wird noch mal preisgünstiger.

    1. Streaming Neuer Fire TV Stick soll veränderte Fernbedienung erhalten

    Battery Day: Wie Tesla die Akkukosten halbieren will
    Battery Day
    Wie Tesla die Akkukosten halbieren will

    Größer, billiger und vor allem viel viel mehr. Tesla konzentriert sich besonders auf bessere und schnellere Akku-Herstellung.
    Ein Bericht von Frank Wunderlich-Pfeiffer

    1. Elektromobilität Tesla will zehn Prozent an LGs Akkusparte übernehmen
    2. Drei Motoren Tesla Model S Plaid kommt in 2 Sekunden auf 100 km/h
    3. Grünheide Tesla und Gigafactory-Kritiker treffen aufeinander

      •  /