Firewall-Ratgeber

So sichern Sie das Netz Ihres Kunden

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Lässt sich die Windows-Firewall zentral steuern?

Netsh im Einsatz: Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff).
Netsh im Einsatz: Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff).
Foto: Thomas Bär / Frank-Michael Schlede

Die Windows-Firewall wird grundsätzlich über die Registry gesteuert und kann in den aktuellen Betriebssystemversionen sehr gut über die Systemsteuerung konfiguriert werden. Hier finden sich unter dem Eintrag "Windows-Firewall mit erweiterter Sicherheit" sehr umfangreiche Möglichkeiten, die Software zu konfigurieren. Die notwendigen Regeln verteilen Administratoren über Gruppenrichtlinien in einer Active Directory Domäne. In Arbeitsgruppen können über Batch- oder Skript-Jobs ähnliche Kommandos eingesetzt werden. Dazu kommt häufig auch die Konfiguration mit Hilfe des sehr mächtigen Netsh-Kommandos zum Einsatz.

Wozu dient die DMZ?

Die "Demilitarized Zone" (DMZ) ist ein zusätzlicher Netzwerkbereich vor dem eigentlichen Unternehmensnetzwerk. Es dient zur Bereitstellung von Diensten, die einen direkten Zugang - beispielsweise - das Internet, benötigen und auf die auch direkt aus dem Internet zugegriffen werden kann. Eine genaue Beschreibung finden Sie auf der Wikipedia-Seite zu DMZ.

Was hat es mit den Ports auf sich und warum gilt die Aufmerksamkeit häufig dem Port 80?

Bis vor einigen Jahren war es ausreichend, komplette Ports für den Internet-Zugriff zu sperren. Allerdings nutzen viele Dienste heutzutage Standards wie den Port 80, um weiterführende Techniken einzusetzen. Jede IP-Adresse bietet 65.535 Port-Adressen, über die sie mit anderen IP-Adressen gleichzeitig in Verbindung tritt. Es gibt eine große Anzahl so genannter "Well known Ports", die von ganz bestimmten Anwendungen verwendet werden und meist zwischen 0 bis 1023 liegen. Zugeteilt werden den Anwendungen diese Ports von der "Internet Assigned Numbers Authority" (IANA). Hierzu gehören auch die sehr bekannten Ports 80 (Standard HTTP), 443 (gesicherte HTTPS-Verbindungen) oder der für den E-Mail-Versand genutzte Port 25.

Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung.
Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung.
Foto: Thomas Bär / Frank-Michael Schlede

Während die Port-Nummern zwischen 1024 und 49.151 von Firmen als "Registered Ports" genutzt werden können, kann jede Software im Bereich von 49.152 bis 65.535 Verbindungen als "dynamische Datenkanäle" öffnen. Die Video-Konferenz-Software Skype beispielsweise ist gar nicht so leicht durch eine Firewall auszubremsen, da die Software die Technik des "Port-Hoppings" perfekt beherrscht. Das Problem ist somit nicht der Netzwerk-Port oder das Protokoll - oft genug ist die Anwendung oder der Dienst, der auf der Maschine aktiv ist und auf den verschiedenen Ports lauscht, das wirklich Risiko, das es einzugrenzen gilt.

Was fließt aktuell überhaupt durch das Netz?

Im vergangenen Jahr hat der Sicherheitssoftwareanbieter Palo Alto Networks einen "Application Usage and Risk Report" (AUR-Report) vorgestellt. Aus diesem Report, der den Applikations-Netzwerkverkehr von mehr als 1600 Unternehmen im Zeitraum von April bis November 2011untersucht, geht hervor, dass sich die Anforderungen an eine moderne Firewall deutlich von den bisherigen Ansprüchen an diese Technik unterscheiden. Der Netzwerkverkehr hat sich in der jüngsten Vergangenheit stark verändert - Mitarbeiter nutzen weltweit sozial Netzwerke wie Twitter, Xing oder Facebook. Aber auch Lösungen wie Skype, Dropbox oder Rapidshare erfreuen sich zunehmender Beliebtheit. Unternehmen müssen entscheiden, wie sie diese Technologien sicher auf ihren Netzwerken zur Verfügung stellen und dabei die Produktivität, die viele dieser Applikationen ermöglichen, erhalten können. Sie müssen dabei gleichzeitig ihre Unternehmensnetzwerke und die Nutzer vor allen Bedrohungen schützen.

Zur Startseite