• IT-Karriere:
  • Services:

Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür

Hersteller typischer Firewall-Appliances für kleinere und mittelgroße Netze sind zum Beispiel Barracuda, Watchguard und Zyxel. Zur Frage, warum Firewalls für den Mittelstand so wichtig sind, sagte der Consulting Engineer IoT/OT/ICS Security bei Barracuda, Stefan Schachinger: "Firewalls arbeiten schon lange nicht mehr als einfache Paketfilter. Vielmehr erkennen und kategorisieren sie die Applikation unabhängig vom Port." Bei einem einfachen HTTP- oder HTTPS-Verkehr lasse sich über diese Protokolle oder Ports tatsächlich alles Mögliche abwickeln. "Die Bandbreite reicht von Cloud Anwendungen, Office 365, Musik- und Videostreaming oder Telefonie bis zum Internetsurfen." Um erwünschten von unerwünschtem, das heißt: bösartigem Datenverkehr zu trennen, müsse die Firewall erkennen, was innerhalb des Protokolls passiert.

Stellenmarkt
  1. MINIHAUS MÜNCHEN, München
  2. RND RedaktionsNetzwerk Deutschland GmbH, Hannover

Auch der Area Sales Director Central Europe bei Watchguard Technologies, Michael Haas, betont den Unterschied zwischen einem NAT-Router und einer Firewall: "Der Router lässt sich mit einer Kette statt einer Haustür vergleichen. Eine moderne Firewall hingegen entspricht - um bei diesem Bild zu bleiben - einer Hochsicherheitstür, über die die Verantwortlichen genau steuern, wer Zutritt erhält."

Thorsten Kurpjuhn, European Security Market Development Manager bei Zyxel, wies in unserem Gespräch schließlich auf die Compliance-Problematik hin: "Um DSGVO-Konformität zu gewährleisten, muss ein ausreichender Schutz aller gespeicherten Daten und sensiblen Informationen gewährleistet sein. UTM ist bei der Erfüllung dieser Anforderungen essentiell."

Die Konfiguration der Firewall ist aufwendig, aber wichtig

Gehen wir zum Schluss noch darauf ein, wie Firewalls bestmöglich zu konfigurieren sind: Im praktischen Betrieb ergibt es Sinn, sich für die Konfiguration Zeit zu nehmen und die Regelsätze so zu gestalten, dass sie nur den Verkehr durchlassen, der wirklich benötigt wird.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Standardregeln, wie sie viele Firewalls mitbringen, etwa "Erlaube alle Zugriffe von innen nach außen, verbiete allen Datenverkehr von außen nach innen" reichen für einen sicheren Betrieb nicht aus, da sie nur unwesentliche Vorteile gegenüber reinen NAT-Umgebungen bieten. Normalerweise ist es relativ einfach, den Regelsatz für den eingehenden Verkehr festzulegen. Denn in kleinen Umgebungen müssen oft nur wenige Dienste von außen erreichbar sein, vielleicht ein Web-Server oder ein Rechner, der über SSH oder ein vergleichbares Protokoll von einem Dienstleister ferngewartet werden muss. Die Policies, die diese Dienste erlauben und die dazugehörigen Portweiterleitungen lassen sich schnell einrichten.

Komplizierter und wichtiger ist es, die Dienste und Applikationen zu identifizieren, die aus dem LAN Zugriff auf das Internet benötigen. Ein Regel-Set, das allen ausgehenden Verkehr zulässt, öffnet Tür und Tor für Trojaner und andere Schadsoftware, die weitere Malware oder zusätzliche Komponenten aus dem Internet nachlädt. Wird ein Rechner identifiziert, beispielsweise über einen schädlichen Mail-Anhang, der von einem Anwender geöffnet wurde, so befindet er sich ja im Netz. Das heißt, die von ihm ausgehenden Datenverbindungen kommen von innen nach außen und würden bei einer so konfigurierten Firewall allesamt zugelassen.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)

Der Malware würde diese Konfiguration also keine Hindernisse in den Weg legen. Deswegen ist es wichtig, dafür zu sorgen, dass nur legitime Verbindungen Zugriff nach außen erhalten. Auf diese Weise verhindern die Paketfilter beispielsweise, dass ein Schädling über TFTP, also das Trivial File Transport Protocol, weitere Komponenten nachlädt oder dass eine Malware versucht, über Zugriffe über Port 80 nach außen Kontakt zu ihren Steuerungsservern aufzunehmen.

Es ist mit einem gewissen Aufwand verbunden, alle Dienste, die im Unternehmen zugelassen werden müssen, zu identifizieren. Die meisten Firewall-Lösungen bieten zu diesem Zweck einen Monitoring-Modus an. Wird dieser aktiviert, so können die zuständigen Mitarbeiter ihre Policies anlegen, ohne dass diese direkt greifen. Die Firewall zeigt aber an, welche Verbindungen durch die gerade eingerichteten Policies unterbrochen würden und welche nicht.

Üblicherweise ergibt es Sinn, eine Firewall nach der Inbetriebnahme erst einmal einige Zeit in diesem transparenten Monitoring-Modus laufen zu lassen und die Regeln nach und nach so zu modifizieren, dass es später, beim Scharfschalten des Systems zu keinen unliebsamen Überraschungen kommt. Das genannte Vorgehen ist wie gesagt mit einem gewissen Aufwand verbunden, erhöht das Sicherheitsniveau aber auf jeden Fall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Mit einer Firewall die Datenübertragung steuernPraxistipp: Benutzergruppen anlegen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 3,90€
  2. (aktuell u. a. The Long Journey Home für 2,50€, Transport Fever für 7,50€, Shenmue 3 für 15...
  3. 2,79€
  4. 39,99€

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /