Firewall-Ratgeber

So sichern Sie das Netz Ihres Kunden

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Wozu Personal Firewalls innerhalb eines Netzwerks?

Üblicherweise schützt die primäre Firewall eines Unternehmens den Ein- und Ausgang in Richtung Internet oder zu anderen angeschlossenen Netzwerken. Kommt es innerhalb des eigenen Netzwerks zu einem sicherheitsrelevanten Problem, sind die Client-Systeme ungeschützt. Daher empfiehlt sich der Einsatz der Personal Firewalls auf diesen Rechnern. Server-Systeme sollten durch eine weitere, zentrale Firewall gegenüber dem Client-Netzwerk geschützt sein.

Sind Firewall-Lösungen denn nicht teuer?

Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an.
Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an.
Foto: Thomas Bär / Frank-Michael Schlede

Die Preisgestaltung bei den Firewalls ist sehr unterschiedlich. Personal Firewalls für PC und Mac sind oft kostenlos. Hardware-basierte Systeme sind indes kostenpflichtig. Grundversionen, wie beispielsweise Astaros Essential Firewall, stehen zur lokalen Installation oder als virtuelle Maschine (VM) häufig ebenfalls kostenlos bereit. Wer ein ordentliches Management, zuverlässig Updates für die Systeme und lesbare Anleitungen und Empfehlungen haben möchte, wird sich für ein etabliertes und kostenpflichtiges System entscheiden müssen. Wer selbst weiß, wie sich ein Kernel auf den gewünschten Funktionsumfang reduzieren lässt, der kann mit der Unix IPFW auch seine eigene Firewall aufsetzen und konfigurieren.

Firewall-Regeln sind doch zu kompliziert!

Wer darf was: Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall.
Wer darf was: Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall.
Foto: Thomas Bär / Frank-Michael Schlede

Wer mit den Abkürzungen und Begrifflichkeiten wie UDP, TCP, Ports, NetBIOS oder Ping nichts anfangen kann, der sollte tunlichst nicht versuchen, die Regeln für eine Firewall selbst einzustellen. Die Gefahr, dass dabei aufgrund aus einem Verständnisproblem ein ausgewachsenes Sicherheitsproblem wird, ist einfach zu groß. Jeder größere Hersteller von Firewall-Systemen, beispielsweise Barracuda, bietet für seine Systeme verschiedene Kurse und Schulungen an, um das entsprechende Wissen zu vermitteln. Dabei wird das technische Verständnis für die Abläufe von Kurs zu Kurs erhöht.

Äußerst praktisch für das Erlernen der Firewall-Einstellung sind die Virtualisierungstechniken von VMware, Parallels oder Oracles VirtualBox. Mit dieser Software können Anwender sehr leicht virtuelle Computer aufbauen und von "außen" auf deren Netzwerkinterfaces einwirken. Die höhere Schule stellt dann das Ausnutzen von Sicherheitslücken im Zusammenspiel mit offenen Ports dar - hierfür eignen sich beispielsweise die Lösungen aus dem Hause RAPID7.

Sofern es sich nicht verhindern lässt, dass ein eher unbedarfter Benutzer für die Einstellungen der eigenen Firewall-Regeln zuständig ist, gilt folgender, einfacher Grundsatz: Zunächst alles zu! Dabei werden in einem ersten Schritt zunächst einmal alle Verbindungen blockiert, um dann nach und nach sukzessive mit Hilfe des Assistenten die benötigten Ports zu öffnen.

Zur Startseite