Sie besuchen die Seite über eine ungesicherte Verbindung. Gesicherte Verbindung mit https (empfohlen)
Bei Beschränkungen des Internet-Zugangs (Gäste-WLAN oder ähnliches, ohne https) wechseln Sie bitte nicht

Firewalls

... als Brandschutzmauern für Ihre IT

Sicherheit, Firewall oder Brandschutzmauer

Wenn es um das Thema Sicherheit in der elektronischen Datenverarbeitung geht, dann hat sich der Begriff Firewall ohne grössere Erklärung als das Wundermittel in unserem Sprachgebrauch eingenistet. Er wird zwar von vielen Personen benutzt, jedoch können die wenigsten etwas damit anfangen. Selbst den zuständigen Administratoren ist oft nicht klar, dass Sicherheit einiges an Planung und auch im laufenden Betrieb Arbeit erfordert.

Was ist das Ding nun eigentlich?

Auf einen Nenner gebracht, ist es „nichts weiter“ als eine Anordnung von Hard- und Software, welche als Übergang zwischen zwei zu trennenden TCP/IP-Netzen dient, von denen das eine einen höheren Schutzbedarf hat (Quelle: D.Brent Chapman and Elisabeth Zwicky, „Building Internet Firewalls“, O'Reilly & Associates, 1995).

Beim zu schützenden Bereich kann es sich um einen oder mehrere Rechner (internes LAN) handeln. Zusätzlich muss die Firewall nicht nur den gewünschten Bereich sichern, sondern muss auch selbst geschützt sein.

Daraus ergeben sich verschiedene Komponenten, deren Festlegung teilweise schon vor Einsatz einer Firewall sinnvoll und notwendig ist. Unterlässt man die sorgfältige Betrachtung dieser Komponenten, dann kann man trotz installierter und laufender Firewall garantiert nicht von Sicherheit reden!

Im Einzelnen sind zu betrachten bzw. festzulegen

Es ist offensichtlich, dass eine Firewall kein Produkt ist, welches einmal installiert und dann „vergessen“ werden kann.

Eine funktionelle Firewall erfordert ständige Wartung und Pflege, da es immer Sicherheitslücken gibt.

Sicherheitsphilosphie

Grundsätzlich muss der Anwender den Sinn der Sicherheitsrichtlinien verstehen und deren Einhaltung akzeptieren.

Sollte dies nicht gegeben sein, dann macht der Einsatz einer Firewall oft keinen Sinn bzw. verursacht unnötigen Ärger. Dies könnte bis zur Nichtausführung notwendiger Tätigkeiten gehen. Deshalb sollte ein Sicherheitskonzept in Zusammenarbeit mit den Anwendern erstellt werden.

Eine hierfür notwendige Voraussetzung ist die Schutzbedarfsfeststellung.

Was ist zu schützen
Vertraulichkeit, Daten Unbefugter Zugriff auf lokal gespeicherte oder übertragene Daten oder lokale Rechner
Verfügbarkeit Der Angriff auf Verfügbarkeit lokaler Netzkomponenten
Priorisierung des Schutzbedarfs
niedrig Angriff durch zufällige Aktionen muss verhindert werden.
mittel Angriff mit einfachen Mitteln soll abgewehrt werden.
hoch Angriff mit qualifizierten Methoden soll abgewehrt werden. Ein gewisses Restrisiko wird bewusst in Kauf genommen.
sehr hoch Angriff muss verhindert werden. Das Restrisiko ist zu minimieren (eine vollständige Sicherheit ist nicht möglich, hierzu müsste die Konnektivität verhindert werden!).

Die Hardware kann aus entsprechend konfigurierbaren dedizierten Routern oder Rechnern (welche auch als Router fungieren können) bestehen. Auf diesen Routern agiert die eigentliche Firewall-Kompenente in Form von Software.

Bei der Firewall-Software wird ganz grob nach zwei Anwendungs-Kriterien unterschieden:

Ein Packet-Filter betrachtet jedes ankommende Packet und vergleicht es mit den erstellten Regeln (die sogenannten firewall rules). Diese Regeln können sowohl einzelne Port-Nummern, Packet-Typen als auch Quell- oder Zieladressen von Packeten beinhalten.

Es wird jedoch immer nur das einzelne Packet betrachtet (die Anwendungsschicht bleibt vollständig aussen vor), so dass eine inhaltsbezogene Sperre oder Kontrolle nicht möglich ist - der Blick auf das Gesamte fehlt.

Filter-basierende Firewalls sind absolut wirkende Sperren. Deshalb muss jeder, der von aussen Zugriff auf den zu schützenden Bereich erhalten soll, Zugriff auf den Server haben.

Die Transparenz („Unsichtbarkeit“) von Seiten des Anwenders ist normalerweise solange gegeben, bis ein Paket abgewiesen wird - der Benutzer merkt im Alltagsbetrieb nichts von der Anwesenheit der Firewall.

Eine Erweiterung der Funktionalität ist im Normalfall durch Hinzufügen neuer Regeln zu bewerkstelligen.

Die Installation ist relativ einfach, es sind jedoch mehrere Punkte zu beachten:

Ein Anwendungs-Gateway hingegen arbeitet auf sogenannter Proxy-Basis.

Ein einfaches Beispiel zur Erklärung des Funktionsprinzips ist der Zugriff mit http bzw. https (Browser) oder SSH (oder Telnet) auf einen Rechner, von dem aus wiederum per http(s), SSH oder Telnet (oder was immer) auf weitere Rechner zugegriffen wird.

Der zuerst angesprochene Rechner fungiert dabei quasi als Vermittlungsrechner (Proxy). Mit Hilfe eines Proxy-Servers lässt sich dieser Vorgang automatisieren und sehr fein einstellen.

Abhängig von der Sicherheitsphilosophie erfolgt eine Weiterleitung dann, wenn dies erlaubt oder es nicht verboten ist.