Firewall-Ratgeber

So sichern Sie das Netz Ihres Kunden

08.03.2013 von Thomas Bär und Frank-Michael Schlede
Gut zu wissen: Unsere Experten beantworten die wichtigsten Fragen zum Thema Firewalls und Netzwerkschutz.

Gut zu wissen: Unsere Experten Thomas Bär und Frank-Michael Schlehde beantworten die wichtigsten Fragen zum Thema Firewalls und Netzwerkschutz.

Nicht immer wurde und wird der Firewall-Schutz ernstgenommen - bis es dann einmal wirklich brennt.
Foto: Fotolia, Misha

Es ist nicht einmal eine Dekade her, da lieferte Microsoft sein Betriebssystem Windows XP noch mit einer ausgeschalteten Firewall aus. Innerhalb weniger Wochen wurde die IT-Landschaft von so vielen Attacken heimgesucht, dass Microsoft rund ein halbes Jahr alle Weiterentwicklungen zu Gunsten einer sichereren Programmierung stoppte. Apple, stets den Consumer-Markt im Fokus, lieferte OS X 10.7 Lion mit ausgeschalteter Firewall aus. Sofern der Computer ohne Kontakt zu einem Netzwerk ist, mag dies alles kein Problem darstellen - aber auf welche Maschine trifft dies aktuell noch zu?

Wie kann eine Firewall schützen?

Sicherheitslücken in Applikationen und Betriebssystemen gehören zu den größten Problemen in der IT-Branche. Solche Lücken zu entdecken und sie dann möglichst schnell zu schließen, ist unerlässlich. Bis ein Problem "gefixt" ist, hängt die Sicherheit des Computers oder des gesamten Netzwerks oft an einer einzigen Komponente: der Firewall. Per Definition schützt die Firewall, indem sie selektiv auf den Netzwerkverkehr Einfluss nimmt und nur bestimmte Verbindungen zulässt. Es wird typischerweise zwischen eingehendem und ausgehendem Verkehr differenziert, da es ein Unterschied ist, ob der PC eine Verbindung explizit anfordert oder auf eine unerwünschte Anforderung reagiert.

Wie unterscheiden sich Firewalls?

Grundsätzlich dürfen zwei verschiedene Arten vor Firewall-Systemen unterschieden werden: Der eigene Computer wird entweder über eine im Betriebssystem verankerte oder über eine als Zusatzsoftware installierte, "Personal-Firewall" geschützt. Ganze Netzwerke oder Segmente des Netzwerks schützen IT-Professionals dann durch herkömmliche Firewalls. Hier handelt es sich in der Regel um Appliances, also um eine Kombination von Hard- und Software. Im Gegensatz zu den einstigen Firewall-Lösungen, die lediglich Ports öffnen und sperren konnten, sind moderne "Next Generation Firewall"-Programme zu weitaus mehr in der Lage: Sie können zum Beispiel die Datenpakete einzelner Applikationen gezielt sperren oder für unterschiedliche Benutzer verschiedene Regelwerke vorhalten. Firewalls dieser neueren Art "verstehen" somit, was genau in den Datenpaketen für Informationen enthalten sind. Auch das Thema "Anti-Malware" wird durch die NGFWs (Next Generation Firewalls) bereits sicher abgedeckt. Bei genauer Betrachtung handelt es sich bei diesen Lösungen um "Application Layer Firewalls", wie sie im englischsprachigen Wikipedia beschrieben werden.

Sind Personal Firewalls unsicherer?

Die eingebaute Firewall für Microsoft Windows: Sie bietet die Definition von Regeln für den eingehenden und ausgehenden Netzwerkverkehr und unterstützt die Konfiguration mittels Assistenten.
Foto: Thomas Bär / Frank-Michael Schlede

Professionelle Firewall-Lösungen setzen auf einem speziell für diesen Zweck angepassten Betriebssystem auf. Es wird in diesem Zusammenhang oft von einem "gehärtetem Betriebssystem" gesprochen. Durch die bewusste Funktionsreduktion sinkt die Gefahr, dass sich im Betriebssystem eine Lücke für einen Angriff ausnutzen lässt. Eine Personal Firewall setzt hingegen auf einem Standard-Betriebssystem wie Windows, OS X oder Linux auf und ist daher auch höheren Risiken ausgesetzt, wie beispielsweise Programmfehler. Das heißt aber nicht, dass auf diese Form der Firewall generell verzichtet werden sollte und kann.

Soll ich die Personal Firewall einschalten?

Ja - die Vorteile sind unbestritten.

Gibt es einen Grund, die Personal Firewall auszuschalten?

Eigentlich nicht - eventuell kurzfristig zur Fehlersuche.

Gibt es einen Grund, eine Firewall grundsätzlich auszuschalten?

Nein, auf keinen Fall - kein Betriebssystem und kein Netzwerk sollte ohne diesen Schutz in Kontakt mit der Außenwelt treten.

Wozu Personal Firewalls innerhalb eines Netzwerks?

Üblicherweise schützt die primäre Firewall eines Unternehmens den Ein- und Ausgang in Richtung Internet oder zu anderen angeschlossenen Netzwerken. Kommt es innerhalb des eigenen Netzwerks zu einem sicherheitsrelevanten Problem, sind die Client-Systeme ungeschützt. Daher empfiehlt sich der Einsatz der Personal Firewalls auf diesen Rechnern. Server-Systeme sollten durch eine weitere, zentrale Firewall gegenüber dem Client-Netzwerk geschützt sein.

Sind Firewall-Lösungen denn nicht teuer?

Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an.
Foto: Thomas Bär / Frank-Michael Schlede

Die Preisgestaltung bei den Firewalls ist sehr unterschiedlich. Personal Firewalls für PC und Mac sind oft kostenlos. Hardware-basierte Systeme sind indes kostenpflichtig. Grundversionen, wie beispielsweise Astaros Essential Firewall, stehen zur lokalen Installation oder als virtuelle Maschine (VM) häufig ebenfalls kostenlos bereit. Wer ein ordentliches Management, zuverlässig Updates für die Systeme und lesbare Anleitungen und Empfehlungen haben möchte, wird sich für ein etabliertes und kostenpflichtiges System entscheiden müssen. Wer selbst weiß, wie sich ein Kernel auf den gewünschten Funktionsumfang reduzieren lässt, der kann mit der Unix IPFW auch seine eigene Firewall aufsetzen und konfigurieren.

Firewall-Regeln sind doch zu kompliziert!

Wer darf was: Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall.
Foto: Thomas Bär / Frank-Michael Schlede

Wer mit den Abkürzungen und Begrifflichkeiten wie UDP, TCP, Ports, NetBIOS oder Ping nichts anfangen kann, der sollte tunlichst nicht versuchen, die Regeln für eine Firewall selbst einzustellen. Die Gefahr, dass dabei aufgrund aus einem Verständnisproblem ein ausgewachsenes Sicherheitsproblem wird, ist einfach zu groß. Jeder größere Hersteller von Firewall-Systemen, beispielsweise Barracuda, bietet für seine Systeme verschiedene Kurse und Schulungen an, um das entsprechende Wissen zu vermitteln. Dabei wird das technische Verständnis für die Abläufe von Kurs zu Kurs erhöht.

Äußerst praktisch für das Erlernen der Firewall-Einstellung sind die Virtualisierungstechniken von VMware, Parallels oder Oracles VirtualBox. Mit dieser Software können Anwender sehr leicht virtuelle Computer aufbauen und von "außen" auf deren Netzwerkinterfaces einwirken. Die höhere Schule stellt dann das Ausnutzen von Sicherheitslücken im Zusammenspiel mit offenen Ports dar - hierfür eignen sich beispielsweise die Lösungen aus dem Hause RAPID7.

Sofern es sich nicht verhindern lässt, dass ein eher unbedarfter Benutzer für die Einstellungen der eigenen Firewall-Regeln zuständig ist, gilt folgender, einfacher Grundsatz: Zunächst alles zu! Dabei werden in einem ersten Schritt zunächst einmal alle Verbindungen blockiert, um dann nach und nach sukzessive mit Hilfe des Assistenten die benötigten Ports zu öffnen.

Lässt sich die Windows-Firewall zentral steuern?

Netsh im Einsatz: Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff).
Foto: Thomas Bär / Frank-Michael Schlede

Die Windows-Firewall wird grundsätzlich über die Registry gesteuert und kann in den aktuellen Betriebssystemversionen sehr gut über die Systemsteuerung konfiguriert werden. Hier finden sich unter dem Eintrag "Windows-Firewall mit erweiterter Sicherheit" sehr umfangreiche Möglichkeiten, die Software zu konfigurieren. Die notwendigen Regeln verteilen Administratoren über Gruppenrichtlinien in einer Active Directory Domäne. In Arbeitsgruppen können über Batch- oder Skript-Jobs ähnliche Kommandos eingesetzt werden. Dazu kommt häufig auch die Konfiguration mit Hilfe des sehr mächtigen Netsh-Kommandos zum Einsatz.

Wozu dient die DMZ?

Die "Demilitarized Zone" (DMZ) ist ein zusätzlicher Netzwerkbereich vor dem eigentlichen Unternehmensnetzwerk. Es dient zur Bereitstellung von Diensten, die einen direkten Zugang - beispielsweise - das Internet, benötigen und auf die auch direkt aus dem Internet zugegriffen werden kann. Eine genaue Beschreibung finden Sie auf der Wikipedia-Seite zu DMZ.

Was hat es mit den Ports auf sich und warum gilt die Aufmerksamkeit häufig dem Port 80?

Bis vor einigen Jahren war es ausreichend, komplette Ports für den Internet-Zugriff zu sperren. Allerdings nutzen viele Dienste heutzutage Standards wie den Port 80, um weiterführende Techniken einzusetzen. Jede IP-Adresse bietet 65.535 Port-Adressen, über die sie mit anderen IP-Adressen gleichzeitig in Verbindung tritt. Es gibt eine große Anzahl so genannter "Well known Ports", die von ganz bestimmten Anwendungen verwendet werden und meist zwischen 0 bis 1023 liegen. Zugeteilt werden den Anwendungen diese Ports von der "Internet Assigned Numbers Authority" (IANA). Hierzu gehören auch die sehr bekannten Ports 80 (Standard HTTP), 443 (gesicherte HTTPS-Verbindungen) oder der für den E-Mail-Versand genutzte Port 25.

Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung.
Foto: Thomas Bär / Frank-Michael Schlede

Während die Port-Nummern zwischen 1024 und 49.151 von Firmen als "Registered Ports" genutzt werden können, kann jede Software im Bereich von 49.152 bis 65.535 Verbindungen als "dynamische Datenkanäle" öffnen. Die Video-Konferenz-Software Skype beispielsweise ist gar nicht so leicht durch eine Firewall auszubremsen, da die Software die Technik des "Port-Hoppings" perfekt beherrscht. Das Problem ist somit nicht der Netzwerk-Port oder das Protokoll - oft genug ist die Anwendung oder der Dienst, der auf der Maschine aktiv ist und auf den verschiedenen Ports lauscht, das wirklich Risiko, das es einzugrenzen gilt.

Was fließt aktuell überhaupt durch das Netz?

Im vergangenen Jahr hat der Sicherheitssoftwareanbieter Palo Alto Networks einen "Application Usage and Risk Report" (AUR-Report) vorgestellt. Aus diesem Report, der den Applikations-Netzwerkverkehr von mehr als 1600 Unternehmen im Zeitraum von April bis November 2011untersucht, geht hervor, dass sich die Anforderungen an eine moderne Firewall deutlich von den bisherigen Ansprüchen an diese Technik unterscheiden. Der Netzwerkverkehr hat sich in der jüngsten Vergangenheit stark verändert - Mitarbeiter nutzen weltweit sozial Netzwerke wie Twitter, Xing oder Facebook. Aber auch Lösungen wie Skype, Dropbox oder Rapidshare erfreuen sich zunehmender Beliebtheit. Unternehmen müssen entscheiden, wie sie diese Technologien sicher auf ihren Netzwerken zur Verfügung stellen und dabei die Produktivität, die viele dieser Applikationen ermöglichen, erhalten können. Sie müssen dabei gleichzeitig ihre Unternehmensnetzwerke und die Nutzer vor allen Bedrohungen schützen.

Wäre es nicht leichter, alle Anwendungen zu sperren?

Auf diese Frage antwortet Achim Kraus, Senior Consultant Strategic Accounts bei Palo Alto Networks: "Das Risiko durch generelles Blocken des Zugriffs auf Anwendungsplattformen zu minimieren, ist in der Tat häufig die spontane Reaktion - falls überhaupt möglich. Eine sehr kurzsichtige Aktion, die oft das Gegenteil bewirkt. Die eigenen Mitarbeiter finden nämlich neue und kreative Wege, sich trotzdem Zugang zu Facebook, Skype und Co. zu verschaffen und das mit Technologien, die noch schwerer zu kontrollieren sind." Der Spezialist rät deshalb dazu, keinen Kompromiss zwischen Sicherheit, Leistungsfähigkeit und Administrierbarkeit einzugehen. Das gelingt aber nur, wenn eine neue Technik wie die Next Generation Firewall zur Erkennung und Abwehr von aktuellen Bedrohungen eingesetzt wird.

Was können Unternehmen tun, um sich vor Risiken zu schützen?

Angriff durch Software: Ungeschützte Systeme ohne Firewall sind möglicherweise ein leichtes Opfer für Vulnerability Scanner wie die hier gezeigte Lösung "Nexpose Express".
Foto: Thomas Bär / Frank-Michael Schlede

Auch darauf konnte uns Achim Kraus die passende Antwort geben: "Unternehmen sollten wissen, was im Unternehmensnetzwerk passiert, um daraus entsprechende Vorgehensweisen und Richtlinien abzuleiten." In diesem Zusammenhang machte er auch darauf aufmerksam, dass viele Unternehmen zwar eine komplette Sicherheitsstrategie basierend auf Technologien wie Firewall, Intrusion Prevention, Anti-Malware und so weiter besitzen, doch dass die ursprüngliche Konzeptionierung und Anschaffung leider oft schon Jahre zurückliegt. Inzwischen haben sich aber die Techniken der Angreifer enorm weiterentwickelt, was unter anderem verlangt, dass transparent ist, welche Anwendung in welcher Funktion zur Verarbeitung oder Übertragung von Inhalten stattfindet. Erst dann kann der IT-Verantwortliche Risiken einschätzen und eine adäquate Entscheidung treffen, um Risiken zu vermeiden.

Fazit: Aktuelle Technik gepaart mit Wissen bringt Schutz

Die aktuellen Produkte bieten den passenden Schutz gegen die möglichen Gefahren. Wichtiger als die aktuellste Technik ist jedoch das passende Wissen um den Netzwerkverkehr und die richtige Nutzung der Firewall-Techniken. Der regelmäßige Blick in die Protokolle ist für den IT-Profi Pflicht, ebenso muss sichergestellt sein, dass die Geräte stets auf dem neuesten Firm- oder Software-Stand sind. (sh/CW)

Dieser Ratgeber erschien bereits in der ChannelPartner-Schwesterpublikation Computerwoche