• IT-Karriere:
  • Services:

Der Router ist eine Türkette, die Firewall eine Hochsicherheitstür

Hersteller typischer Firewall-Appliances für kleinere und mittelgroße Netze sind zum Beispiel Barracuda, Watchguard und Zyxel. Zur Frage, warum Firewalls für den Mittelstand so wichtig sind, sagte der Consulting Engineer IoT/OT/ICS Security bei Barracuda, Stefan Schachinger: "Firewalls arbeiten schon lange nicht mehr als einfache Paketfilter. Vielmehr erkennen und kategorisieren sie die Applikation unabhängig vom Port." Bei einem einfachen HTTP- oder HTTPS-Verkehr lasse sich über diese Protokolle oder Ports tatsächlich alles Mögliche abwickeln. "Die Bandbreite reicht von Cloud Anwendungen, Office 365, Musik- und Videostreaming oder Telefonie bis zum Internetsurfen." Um erwünschten von unerwünschtem, das heißt: bösartigem Datenverkehr zu trennen, müsse die Firewall erkennen, was innerhalb des Protokolls passiert.

Stellenmarkt
  1. BfS Bundesamt für Strahlenschutz, Salzgitter
  2. Haufe Group, Freiburg im Breisgau

Auch der Area Sales Director Central Europe bei Watchguard Technologies, Michael Haas, betont den Unterschied zwischen einem NAT-Router und einer Firewall: "Der Router lässt sich mit einer Kette statt einer Haustür vergleichen. Eine moderne Firewall hingegen entspricht - um bei diesem Bild zu bleiben - einer Hochsicherheitstür, über die die Verantwortlichen genau steuern, wer Zutritt erhält."

Thorsten Kurpjuhn, European Security Market Development Manager bei Zyxel, wies in unserem Gespräch schließlich auf die Compliance-Problematik hin: "Um DSGVO-Konformität zu gewährleisten, muss ein ausreichender Schutz aller gespeicherten Daten und sensiblen Informationen gewährleistet sein. UTM ist bei der Erfüllung dieser Anforderungen essentiell."

Die Konfiguration der Firewall ist aufwendig, aber wichtig

Gehen wir zum Schluss noch darauf ein, wie Firewalls bestmöglich zu konfigurieren sind: Im praktischen Betrieb ergibt es Sinn, sich für die Konfiguration Zeit zu nehmen und die Regelsätze so zu gestalten, dass sie nur den Verkehr durchlassen, der wirklich benötigt wird.

Standardregeln, wie sie viele Firewalls mitbringen, etwa "Erlaube alle Zugriffe von innen nach außen, verbiete allen Datenverkehr von außen nach innen" reichen für einen sicheren Betrieb nicht aus, da sie nur unwesentliche Vorteile gegenüber reinen NAT-Umgebungen bieten. Normalerweise ist es relativ einfach, den Regelsatz für den eingehenden Verkehr festzulegen. Denn in kleinen Umgebungen müssen oft nur wenige Dienste von außen erreichbar sein, vielleicht ein Web-Server oder ein Rechner, der über SSH oder ein vergleichbares Protokoll von einem Dienstleister ferngewartet werden muss. Die Policies, die diese Dienste erlauben und die dazugehörigen Portweiterleitungen lassen sich schnell einrichten.

Komplizierter und wichtiger ist es, die Dienste und Applikationen zu identifizieren, die aus dem LAN Zugriff auf das Internet benötigen. Ein Regel-Set, das allen ausgehenden Verkehr zulässt, öffnet Tür und Tor für Trojaner und andere Schadsoftware, die weitere Malware oder zusätzliche Komponenten aus dem Internet nachlädt. Wird ein Rechner identifiziert, beispielsweise über einen schädlichen Mail-Anhang, der von einem Anwender geöffnet wurde, so befindet er sich ja im Netz. Das heißt, die von ihm ausgehenden Datenverbindungen kommen von innen nach außen und würden bei einer so konfigurierten Firewall allesamt zugelassen.

  • Die Barracuda Cloud-Gen-Firewall ist eine Familie von physischen, virtuellen und cloudbasierten Appliances, die verteilte Netzwerkinfrastrukturen schützen und leistungsoptimieren. (Bild: Barracuda)
  • Die Barracuda Cloud-Gen-Firewall F600 (Bild: Barracuda)
  • Fabian Funk, IT-Consultant im Bereich Cybersecurity bei Axians IT Solutions (Bild: Axians IT Solutions)
  • Die Firebox-Lösungen von Watchguard stehen für alle Netzwerkgrößen zur Verfügung. (Bild: Watchguard)
  • Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)
  • Umfassende Dashboards gehören heute zum Leistungsumfang moderner Firewall-Lösungen. (Bild: Watchguard/Screenshot Golem.de)
  • Firewalls der ZyWALL ATP-Serie von Zyxel (Bild: Zyxel)
Eine typische Firewall-Regel, die auf einem Lancom-System DNS- und NTP-Anfragen aus dem lokalen Netz auf die Firewall-Appliance erlaubt (Bild: Lancom/Screenshot Golem.de)

Der Malware würde diese Konfiguration also keine Hindernisse in den Weg legen. Deswegen ist es wichtig, dafür zu sorgen, dass nur legitime Verbindungen Zugriff nach außen erhalten. Auf diese Weise verhindern die Paketfilter beispielsweise, dass ein Schädling über TFTP, also das Trivial File Transport Protocol, weitere Komponenten nachlädt oder dass eine Malware versucht, über Zugriffe über Port 80 nach außen Kontakt zu ihren Steuerungsservern aufzunehmen.

Es ist mit einem gewissen Aufwand verbunden, alle Dienste, die im Unternehmen zugelassen werden müssen, zu identifizieren. Die meisten Firewall-Lösungen bieten zu diesem Zweck einen Monitoring-Modus an. Wird dieser aktiviert, so können die zuständigen Mitarbeiter ihre Policies anlegen, ohne dass diese direkt greifen. Die Firewall zeigt aber an, welche Verbindungen durch die gerade eingerichteten Policies unterbrochen würden und welche nicht.

Üblicherweise ergibt es Sinn, eine Firewall nach der Inbetriebnahme erst einmal einige Zeit in diesem transparenten Monitoring-Modus laufen zu lassen und die Regeln nach und nach so zu modifizieren, dass es später, beim Scharfschalten des Systems zu keinen unliebsamen Überraschungen kommt. Das genannte Vorgehen ist wie gesagt mit einem gewissen Aufwand verbunden, erhöht das Sicherheitsniveau aber auf jeden Fall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Mit einer Firewall die Datenübertragung steuernPraxistipp: Benutzergruppen anlegen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 17,99€
  2. 11,49€
  3. 59,99€

Neuro-Chef 31. Okt 2019

Die werden Mail- und Webserver auch nicht lokal betreiben, sondern beim Hoster...

Neuro-Chef 31. Okt 2019

Wenn man beides zusammensteckt, haben die Server nicht nur (irgend)eine...

Neuro-Chef 31. Okt 2019

Sonst verdienen die armen Hersteller ja nichts an ihrer so schon teuren Hardware.. ;)

spoink 16. Okt 2019

Vorweg - man merkt durch und durch das, was du im letzten Absatz selbst beschreibst, aber...

zuschauer 14. Okt 2019

Dann kennst Du ja beide "Lager"... Wenn die Arbeit interessant und spannend ist - und...


Folgen Sie uns
       


    •  /