Firewall

Eine Firewall ist eine Schutzmaßnahme vor fremden und unberechtigten Verbindungsversuchen aus dem öffentlichen (Internet, ISDN) ins lokale Netz. Mit einer Firewall lässt sich der kommende und gehende Datenverkehr kontrollieren, protokollieren, sperren und freigeben.

Firewall als Sicherheitsstrategie

Eine Firewall ist keine Blackbox, die Sicherheit vor dem öffentlichen Netz vorgaukelt. Eine Firewall ist als eine Sicherheitsstrategie zu verstehen, die unerwünschte, unsichere und schädigende Verbindungen verhindern soll. Ohne ständige Überwachung und Pflege bleibt nach einiger Zeit keine Schutzwirkung übrig.

Am Anfang steht die Entscheidung zur Grundhaltung gegenüber Datenverbindungen. Die Firewall kann zunächst alle Verbindungen erlauben und nur bekannte gefährliche Datenverbindungen unterbinden. Oder sie sperrt alles und alle erwünschten Datenverbindungen müssen explizit freigegeben werden.

Strategie 1	Alles ist freigegeben.	Diese Variante ist relativ komfortabel. Bei der Einführung ist mit keinerlei Problemen zu rechnen. Allerdings ist sie nur so sicher, wie Gefahren und Sicherheitslöcher bekannt sind und gesperrt werden.
	Bekannte unsichere und unerwünschte Vorgänge werden gesperrt.
Strategie 2	Alles ist gesperrt.	Diese Variante ist sehr sicher. Allerdings erfordert sie eine aufwendige Konfiguration der Firewall.
	Bekannte sichere und erwünschte Vorgänge werden freigegeben.

Hauptproblem beim Einrichten einer Firewall ist das Überprüfen der Filterregeln und Beschränkungen. Nur wenige Firewall-Produkte bieten diese Möglichkeit. Sich auf die einwandfreie Funktion der Firewall zu verlassen wäre fatal. Entweder man beauftragt eine externe Firma, die Firewall zu testen oder man beschafft sich einschlägige Software-Tools und testet die Firewall selber. Aber über einen anderen Internet-Zugang, nicht über das eigene lokale Netz!

Elemente einer Firewall

Grundsätzlich gibt es zwei verschiedene Ansätze für ein Firewall-Konzept:

• passiver Paketfilter
• aktives Gateway (Proxy)

Ein Paketfilter (TCP/IP) kontrolliert die Quell- und Ziel-IP sowie die dazugehörigen Portnummern (TCP). Neben der Filterfunktion ist die Protokollierung abgelehnter Pakete für spätere Analysen wichtig.
Das Gateway ist ein Proxy, der die Datenpakete der Internet-Dienste (HTTP, FTP, ...) zwischenspeichert. Dadurch lässt sich eine inhaltsbezogene Filterung der Daten vornehmen. Für ein LAN mit viel E-Mail-Verkehr ist ein Virencheck für E-Mails besonders empfehlenswert.
Einen optimalen Schutz erreicht man durch eine Kombination aus Paketfilter und Proxy. Vorzugsweise sollte der Paketfilter dem Proxy vorgeschaltet sein, um unnötigen Datenverkehr über den Proxy zu vermeiden. Inhaltsbezogene Filterungen benötigen deutlich mehr Rechenleistung. Der Proxy sollte deshalb mit viel Rechenleistung und Arbeitsspeicher ausgestattet sein.
Eine Firewall kann ein einzelner Computer oder eine Kombination aus Proxy und einem Router sein. Praktikabel ist es, wenn der Paketfilter ein Router mit Firewall-Funktionen ist.

Sicherheitsvorkehrungen?

Keine Sicherheitsvorkehrungen oder Sicherheitsmechanismen zu verwenden ist fahrlässig. Allerdings sollte man schon genau hinschauen, was einem so als Sicherheitsfunktion angeboten wird.

Ein MAC-Filter, wie er in WLAN-Access-Points angeboten wird, ist als Sicherheitsfunktion bedingt tauglich. Zum einen ist der Verwaltungsaufwand groß und zweitens für einen Hacker kein wirkliches Hindernis. Jeder Netzwerk-Adapter kann mit einer anderen MAC-Adresse versehen werden.

NAT wird besonders in Produkt-nahen Beschreibungen als Sicherheitsmerkmal beschrieben. Hinter NAT steckt ein Mechanismus, der als Nebenprodukt verhindert, dass Stationen hinter dem NAT-Router von außerhalb direkt ansprechbar sind. Von außen initiierte Verbindungsversuche werden verworfen und bekommen keinen Zugang zum lokalen Netzwerk.
NAT als Sicherheitsmerkmal zu bezeichnen ist irreführend, weil es nicht die Aufgabe von NAT ist, die Sicherheit zu erhöhen.

Ein weiterer gut gemeinter Ratschlag ist das Blockieren von Ports. Dadurch soll verhindert werden, dass über nicht blockierte Ports irgendwelche Dienste angesprochen werden können. Allerdings erreicht man dadurch nicht mehr Sicherheit. Protokolle sind nicht an bestimmte Ports gebunden. Sie können irgendwelche Ports verwenden.
Ziel sollte es sein, alle nicht in Gebrauch befindlichen Dienste abzuschalten. Denn dann braucht man sich um offene Ports keine Sorgen machen. Ports sperrt nur derjenige, der seine Server- und Netzwerk-Dienste nicht im Griff hat.

Trotz aller Sicherheitsmaßnahmen ist die beste Firewall die Isolation. Computer mit sensiblen oder datenschutzrechtlichen Daten sollten autark und vom jedem Netzwerk getrennt laufen.

Was bringen Desktop-Firewalls, Security-Suiten und Virenscanner?

Sicherheit ist immer ein Gesamtkonzept, in dem festgelegt ist, was wovor geschützt sein muss, was die Angriffsflächen sind und wie man diese schließt oder minimiert. In einem lokalen Netzwerk ist die Angriffsfläche die Schnittstelle zum Internet.
Grundsätzlich gilt, jede Software, die Daten aus unsicheren Quellen (z. B. Internet) liest, ist als Angriffsfläche missbrauchbar. Dazu zählen von außen erreichbare Server-Dienste, aber auch Client-Software wie Browser, Mailclients, Messenger und so weiter. Ungeachtet ihrer Sicherheitsfunktionen fallen auch Personal Firewalls und Virenscanner darunter.
Jede Software, auch die eigentlich die Sicherheit erhöhen sollte, erhöht die Angriffsfläche. Deshalb sollte man immer abwägen, wo die Vor- und Nachteile liegen. In der Regel macht ein Virenscanner Sinn. Eine Personal Firewall ist in der Regel unnötig und gaukelt nur Sicherheit vor. Die Firewall, die seit SP2 in Windows XP enthalten ist, ist schlank, fest ins System integriert und gilt als sicherer als so manche Security-Suite.
Das bedeutet nicht, dass es an der Windows Firewall nichts zu verbessern gibt. Im Gegenteil. Jede Applikation darf sich bei der Installation selbst in die Ausnahmeliste der Windows Firewall eintragen. In der Regel sind die Applikationen sehr freigiebig bei der Eintragung. Eine Personal Firewall kann die Ausnahmen deutlich einschränken. Sofern diese Firewall gut gepflegt wird, spricht nichts gegen ihren Einsatz.

Mit steigender Komplexität einer Software nimmt die Wahrscheinlichkeit von Fehlern zu. Ab einer gewissen Komplexität ist eine Software nicht mehr fehlerfrei. Eine fehlerhafte Software, die mit Daten aus unsicheren Quellen arbeitet, ist mit einer besonders großen Angriffsfläche gleichzusetzen. Die Angriffsfläche steigt mit der Komplexität der Software.

Für jedes Betriebssystem, egal ob Windows, Linux oder Mac OS, gilt:

1. Jede nicht in Gebrauch befindliche Software deinstallieren.
2. Jeden nicht benötigten Server-Dienst abschalten.
3. Anzahl der Software-Fehler durch regelmäßige Updates reduzieren.
4. Bei Software-Alternativen diejenige mit den geringsten Fehlern wählen.
5. Tendenziell die weniger komplexe Lösung verwenden.

Bis hierher ist noch keine spezielle Sicherheitssoftware erforderlich. Das bedeutet, ein hohes Maß an Sicherheit kann man schon mit Bordmitteln erreichen.

Das Computermagazin ct stellte in seiner Ausgabe 5/2010 fest, "dass jedes Paket (Security-Suite) in fast jeder Kategorie so ernste Defizite aufweist, dass man von ihrem Einsatz abraten muss." Zuvor wurde festgestellt, "das keines der (getesteten) Programme dem Anspruch gerecht wird, besser zu sein als das, was Windows und Mail-Clients eh schon bereitstellen."
Im Editorial des selben Hefts finden sich klare Worte: "Andererseits entpuppen sich die Suiten bei näherem Hinsehen als Pappkameraden." und "Der versprochene Rundumschutz findet nicht statt."
Durch den Test kommen die Redakteure zu der Empfehlung: "Ein reiner Virenscanner reicht nicht nur aus. Man sollte ihn gegenüber einer Security-Suite sogar unbedingt vorziehen."

Das größte Sicherheitsproblem ist immer noch der Nutzer selber. Die wichtigste Maßnahme ist die Sensibilisierung für Sicherheitsprobleme. Dadurch reduziert sich die Angriffsfläche automatisch.
Richtig böse ist es, wenn der Nutzer die Schadsoftware meist unwissentlich selbst installiert. Zum Beispiel durch das Öffnen eines E-Mail-Anhangs. Doch Otto-Normal-Nutzer ist sehr schwer von einem sehr vorsichtigen Umgang mit fremden Dateien zu überzeugen. Deshalb ist der Sicherheitsgewinn durch einen Virenscanner höher zu bewerten, als die zusätzlich entstehende Angriffsfläche.

Doch Vorsicht, ein in Virenscanner ist ein Tool zum Überprüfen von Dateien auf Schadsoftware. Mehr Sicherheit bietet er nicht. Er kommt immer nur dann zum Einsatz, wenn es eigentlich schon zu spät ist. Ein Virenscanner kann im Zweifelsfall den Virenbefall nicht verhindern, wenn er den Virus nicht kennt.

Weitere verwandte Themen:

• Netzwerk-Komponenten
• Internet
• IP-Routing
• SPI - Stateful Packet Inspection
• DMZ - Demilitarisierte Zone
• Grundlagen der Netzwerk-Sicherheit
• DoS - Denial of Service
• IP-Spoofing
• Drive-by

Bookmark

Findest Du Elektronik-Kompendium.de gut? Hat Dir diese Webseite auch schon weitergeholfen?
Willst Du uns dabei unterstützen noch bekannter und besser zu werden?
Erfahre mehr über die Möglichkeiten. Jeder kann etwas tun!