Die Firewall – Ihr Türsteher zwischen Rechner und Netzwerk
Posted by Julia Werner •
Wozu gibt es eigentlich Firewalls?
Jeder kennt den Begriff „Firewall“, aber nur wenige wissen, warum sie eine benötigen. Sehen Sie sich mal im Internet um, und Sie werden nicht nur auf viele verschiedenen Vorstellungen dazu stoßen, was eine Firewall tun soll, sondern ebenso viele verschiedene technische Konzepte, die sich unter dem Begriff zusammenfassen lassen. Die grundlegende Idee hinter ein Firewall ist ein „Schutzwall“, der Sie gegen Angriffe von der „anderen“ Seite schützt. Dies mag einfach erscheinen, aber viele fragen sich hier: Wo sollte dieser Schutzwall platziert werden? Und was sind eigentlich „Angriffe“? Zunächst einmal geben wir Ihnen Überblick darüber, an welchen Stellen eine Firewall sich befinden kann.
Hardware-Firewalls
Für anspruchsvolle Nutzer, große Netzwerke oder Server handelt es sich bei einer Hardware-Firewall üblicherweise um ein eigenständiges Gerät. Für Heimanwender oder Kleinunternehmen ist diese oftmals in den Router/das Modem integriert. Bei Verwendung einer Hardware-Firewall wird der gesamte Netzwerkverkehr durch diese geleitet, bevor die Daten die einzelnen Rechner erreichen.
Die Hardware-Firewall untersucht die Daten gründlich und prüft, ob sie weitergeleitet werden oder nicht. Einige Firewalls befolgen lediglich einfache Regeln, die der Nutzer erstellt hat. Zum Beispiel: Niemanden aus dem Internet eine Verbindung zu lokalen Rechnern aufbauen lassen, die sich hinter der Firewall befinden – nur ausgehende Verbindungen zulassen. Andere Firewalls verwenden spezielle Regeln mit protokollbasierten Filtern. Zum Beispiel: Verbindungen von Nutzern aus dem Internet zulassen, aber nur über Port 80 (dem Port für HTTP-Webserver) und eingehenden Traffic an einen Webserver hinter der Firewall weiterleiten, bevor er einzelne Rechner erreicht. Wieder andere Firewalls sind noch ausgeklügelter und untersuchen jedes Datenpaket gründlich auf Anwendungsebene. Hier kann eine Regel wie folgt aussehen: Eingehenden Traffic über Port 80 zulassen, ausgenommen er enthält Codesequenzen, mit deren Hilfe der Webserver hinter der Firewall gehackt werden kann. Das wäre zum Beispiel der Fall bei sogenannten Cross-Site-Scripting-Angriffen oder Exploits der Datenbank, mit welcher der Webserver arbeitet.
Der Vorteil von Hardware-Firewalls liegt darin, dass sie wortwörtlich von den Computern getrennt sind, die sie schützen. Sämtlicher Traffic muss die Hardware-Firewall passieren oder er erreicht gar keine lokalen Zielrechner dahinter. Des Weiteren verfügen Hardware-Firewalls über keine zusätzliche „Angriffsfläche“ für bösartige Datenpakete, die mit manipuliertem Code eingeschleust werden könnten, wie das bei einer Software-Firewall der Fall sein kann. Die Daten werden entweder weitergeleitet oder nicht. Ein rechteckiger Klotz passt eben durch kein rundes Loch.
Der Nachteil von Hardware-Firewalls liegt jedoch darin, dass sie durch eben diese Trennung sowie begrenzte Angriffsfläche und Leistung keinerlei Informationen dazu haben, was auf den Computern dahinter vor sich geht. Hardware-Firewalls erkennen nur den Datenverkehr, der von diesen Rechnern erzeugt wird, aber nicht, welche Anwendungen diesen erzeugen. Falls ein Nutzer also einer gutartigen Anwendung Zugriff auf das Internet gewährt und diese Anwendung dann eine Verbindung aufbauen möchte, welche die Hardware-Firewall blockieren soll, unterbindet diese die Verbindung der Anwendung. Falsche Entscheidungen aus zu streng konfigurierten Regelsätzen, welche gutartige Services blockieren, sind ein Problem bei Hardware-Firewalls – sehr zum Leidwesen der Nutzer.
Network-Address-Translation (NAT)-Router
Eine spezielle Form von Hardware-Firewalls stellen sog. Network-Adresse-Translation- oder NAT-Router dar. Diese meisten heutzutage genutzten DSL-Router setzen auf NAT, und in technischer Hinsicht sind sie somit zwar keine Firewalls, führen jedoch zu ähnlichen Ergebnissen. Die Idee hinter NAT ist einfach. Die meisten Haushalte verfügen über mehr als einen Computer mit Internetverbindung, aber der zugehörige Anschluss verfügt nur über eine öffentliche IP-Adresse. Diese IP-Adresse ist wie Ihre Telefonnummer und ist von überall in der Welt zu erreichen. Mit NAT wird Ihre öffentliche IP-Adresse dem Router zugeordnet. Eingehende Datenpakete müssen dann den Router passieren, bevor sie den Zielcomputer erreichen.
Der NAT-Router wandelt alle eingehenden Datenpakete an die öffentliche IP-Adresse an dieser Stelle um, indem er eine spezielle interne IP-Adresse verwendet, die dem jeweiligen Zielrechner im lokalen Netzwerk eindeutig zugeordnet ist. Diese eindeutigen IP-Adressen beginnen üblicherweise mit 10.* oder 192.168.* und sind nicht direkt von außen zu erreichen. Diese Adressen werden in der Tat mehrfach in Millionen lokaler Netzwerk weltweit verwendet. Stellen Sie sich zum Beispiel einen lokalen Rechner vor, der von einem öffentlichen Webserver eine Website aufrufen möchte. Zunächst ersetzt ein NAT-Router die ursprüngliche lokale IP-Adresse des Rechners mit der öffentlichen IP-Adresse des Anschlusses. Gleichzeitig „packt“ der NAT-Router Informationen zu der ursprünglichen lokalen Quell-IP-Adresse in das Datenpaket, sodass nachvollziehbar bleibt, welcher Computer dieses angefordert. Bei Antwort des Webservers werden die Daten an die öffentliche IP-Adresse gesandt; dort werden dann wie Informationen zur lokalen Quell-IP-Adresse vom NAT-Router „ausgepackt“ und die Daten an diesen Rechner mit der lokalen IP-Adresse weitergeleitet.
NAT-Routers verschaffen dem Nutzer eine riesigen Vorteil: Rechner innerhalb eines NAT können Verbindungen überallhin außerhalb des Netzwerks aufbauen, aber niemand kann direkt von außen eine Verbindung zu einem Rechner im NAT aufbauen, es sei denn, der NAT-Router ist speziell darauf programmiert, einzelne Protokolle an einzelne Rechner weiterzuleiten. So sorgt ein NAT-Router für eine sehr zuverlässige „Abschirmung“, obgleich ein NAT-Router üblicherweise nicht unter den Begriff „Firewall“ fällt.
Software-Firewalls
Ein Software-Firewall läuft auf einem lokalen Rechner, erfüllt jedoch im Prinzip die gleiche Funktion wie eine Hardware-Firewall. Mit Software-Firewalls werden Netzwerkdatenpakete geprüft und mit Hilfe von Regeln entschieden, ob diese blockiert oder zugelassen werden.
Einer der größten Vorteile von Software-Firewalls liegt darin, dass sie üblicherweise nicht so teuer wie Standalone-Hardware-Firewalls sind. Ein weiterer großer Vorteil einer Software-Firewall liegt darin, dass neben der Untersuchung des Netzwerkverkehrs ebenso jedes Datenpaket dem Programm zugeordnet werden kann, das es erzeugt – also genau das, wozu Hardware-Firewalls nicht in der Lage sind. Mit einer Software-Firewall können Traffic und Programmverhalten im Gesamten analysiert werden, wodurch präzisere Entscheidungen als mit einer Hardware-Firewall getroffen werden können. Zum Beispiel: Falls ein Datenpaket ursprünglich einem Programm entspringt, das von einem vertrauenswürdigen Softwarehersteller stammt, besteht keine Notwendigkeit, jedes Mal danach zu fragen, ob es zugelassen werden soll, selbst wenn damit voreingestellte Regeln verletzt werden. Eine Software-Firewall erkennt diesen gutartigen Ursprung und erstellt eine Ausnahme. Eine gute Software-Firewall zeigt fast keine Warnmeldungen an, es sei denn, es ist sichergestellt, dass sich um einen echten Angriff handelt und ein bösartiges Programm Zugriff auf den Computer verlangt.
Zu viele Warnmeldungen verheißen nichts Gutes, denn sie desensibilisieren den Nutzer für echte Warnhinweise. Übermäßig viele Warnmeldungen können wie der Hirtenjunge und der Wolf sein; oder in anderen Worten „die Sicherheitssoftware, die jeden Tag zahllose Warnmeldungen anzeigt“. Wer von uns hatte es noch nicht mit einem solchen Produkt zu tun? Sie sehen so viele Hinweise, dass Sie letztendlich einfach auf „Zulassen“ klicken, unabhängig davon, was in der Warnmeldung steht. Diese Art von Software-Firewalls sind einfach eine Verschwendung der Ressourcen Ihres Computers, denn selbst wenn sie echte Bedrohungen erkennen, lassen ihre Nutzer unwissentlich (verständlicherweise) diese Bedrohungen passieren. Eine gute Software-Firewall blockiert auch keine Anwendungen, die Sie benötigen. Deshalb sind die meisten Nutzer von Hardware-Firewalls entnervt; vielleicht haben Sie diese Erfahrung bereits an Ihrem Arbeitsplatz gemacht. Einer bestimmten gutartigen Anwendung Zugriff an einer Hardware-Firewall zu gewähren kann sich als äußerst mühsam erweisen. Zunächst müssen Sie die Administrator-Schnittstelle öffnen, dann den richtigen Konfigurations-Tab finden und eine komplizierte Regel erstellen – natürlich unter der Voraussetzung, dass Sie den Regelsatz verstehen.
Software-Firewalls sind hier besser aufgestellt, weil sie sich immer lokal in Reichweite befinden und oftmals sogar intelligent genug sind, harmlose Vorgänge außen vor zu lassen und so sich die Einrichtung neuer Regeln von Hand weitgehend erübrigt.
Wann benötigt man dann eine Software-Firewall?
Ehrlich gesagt, sollten Sie sich die Kosten für eine Software-Firewall sparen und Ihre guten Freunde lieber auf einen Kaffee einladen, wenn Sie ausschließlich über einen lokalen Heim-DSL- oder Kabelanschluss mit NAT ins Internet gehen. Sie brauchen lediglich eine zuverlässige Antiviren-Software mit toller Erkennungsleistung und leistungsstarker Verhaltensanalyse. Falls Sie allerdings einen Computer nutzen, der oftmals eine Verbindung über Netzwerke Dritter ins Internet aufbaut, ist eine Software-Firewall ihr Geld vollends wert.
Denken Sie an öffentliche WLAN-Netzwerke wie im Café, das Sie mit Ihren Freunden frequentieren, oder an kabelgebundene Netzwerke in Hotels. Sobald Sie eine Verbindung hergestellt haben, könnte jeder andere PC-Nutzer eines solchen Netzwerks eine Verbindung mit Ihrem Rechner aufbauen. Wieso aber sollten jemand das tun wollen? Um eine löchrige Komponente zu finden, die er dann dazu ausnutzen kann, die Kontrolle über Ihren PC zu finanziellen Zwecken oder zum Diebstahl privater Daten zu übernehmen. Eine Software-Firewall, die alle offenen Ports Ihres PCs effizient versteckt, verringert die Angriffsfläche und senkt das Risiko, dass solche Angriffe erfolgreich sind.
Häufige Irrtümer über Software-Firewalls
Irrtum 1: Firewalls erkennen Malware
Der Hauptzweck einer Software-Firewall besteht darin, potenzielle Schwachstellen zu eliminieren, über die Angreifer von außen in einen Computer eindringen können. Software-Firewalls sind nicht dazu geschaffen, aktive Malware zu erkennen, die sich bereits auf Ihrem PC eingenistet hat und mit einem Fremden auf der anderen Seite der Welt kommuniziert.
Warum nicht? Kurz gesagt: Sobald sich aktive Malware auf Ihrem PC befindet, ist es bereits zu spät. Es hat schlichtweg keinen Sinn, ausgehende Verbindungen von Malware zu blockieren, denn falls die Malware bereits ausgeführt wird, so hat sie ebenso bereits Ihre gesamte Firewall deaktiviert und alle möglichen Systemeinstellungen manipuliert. Dies liegt nicht an der Ohnmacht von Firewalls – sondern einfach daran, dass sie nicht dazu geschaffen sind, Malware zu blockieren. Malware zu blockieren ist Aufgabe von Anti-Malware-Software. Eine Firewall macht Sich nach außen „unsichtbar“, indem die Kommunikation mit anderen Programmen über bestimmte „Kanäle“ oder Ports unterbunden wird.
Irrtum 2: Firewalls sind immer HIPS (Host-basierte Systeme zur Eingriffsprävention)
Bis vor kurzem taten alle Software-Firewalls genau das, das Nutzer von ihnen erwarteten: Sie filterten Netzwerkdaten. Heutzutage ist dies nach wie vor die klassische Definition des Begriffs „Firewall“. Da die Technik von Firewalls jedoch bald in eine Sackgasse geraten war (kein Raum mehr für Innovationen -> alle Hersteller boten ähnliche hohe Qualität), ergänzten Anbieter ihre Firewall-Produkte um neue und etwas überladene Funktionen, wie die Überwachung aller möglichen Arten von Änderungen am Betriebssystem und Erkennung aller Arten von Ausführung nicht standardmäßigen Codes durch Programme sowie tausende andere „verdächtige“ Vorgänge, die heutzutage unter dem Begriff „HIPS“ zusammengefasst werden. Das größte Problem all dieser neuen Technologie liegt darin, dass die Funktionen zur Überwachung und Erkennung recht bescheiden sind. Tendenziell wird für jede einzelne Aktion, die potenziell zu einem Angriff führen könnte, eine Warnmeldung ausgegeben, aber in Wahrheit sind etwa 99,9 % solcher Aktionen keine bösartigen. Wie bereits erwähnt sind derartige Warnmeldungen nervtötend und sogar gefährlich, da Sie leicht den Nutzer dazu verleiten, einfach ständig auf „Zulassen“ zu klicken.
HIPS sind deshalb nur Fachleuten zu empfehlen, die vollständig mit der großen Zahl an Warnmeldungen umgehen und von dieser zusätzlichen Schutzschicht profitieren können. Dies macht jedoch HIPS für Otto Normalverbraucher nicht komplett wertlos. In der Tat hat sich aus der HIPS-Technologie die Verhaltensanalyse entwickelt, eine grundlegende Komponente moderner Anti-Malware-Software. Dank der Anleihen der Verhaltensanalyse bei HIPS, sind Fehlalarme bei Antiviren-Software mit dieser Technologie inzwischen eine große Seltenheit. Verhaltensanalyse ist jedoch nicht gleich HIPS, und keiner der beiden Begriffe lässt sich einfach mit „Firewall“ gleichsetzen.
Firewalls und Emsisoft
Wir bei Emsisoft sammeln seit gut einem Jahrzehnt umfangreiches Wissen zu Firewalls, HIPS und Verhaltensanalyse. Emsisoft Online Armor ist ein Produkt, das ein HIPS mit einer soliden Software-Firewall vereint, aber in erster Linie ein Produkt für Geeks. Das brandneue Emsisoft Internet Security ist auf der anderen Seite für jedermann gedacht.
Emsisoft Internet Security ergänzt die erprobte Technologie von Emsisoft Anti-Malware um eine Software-Firewall, wodurch Sie gegen Malware geschützt UND für Eindringlinge in Ihr Netzwerk unsichtbar bleiben. Dadurch eignet es sich hervorragend für Heimanwender und Kleinunternehmen, die oftmals Ihr Heimnetzwerk verlassen und eine gleichzeitig einfache und dennoch intelligente Lösung suchen, die Ihre Daten schützt, wo auch immer sie sich befinden.
Wir wünschen eine schöne (Firewall-geschützte) Zeit!
Basisschutz für Online-Shops: die Firewall
0 ( 0 )
Ausgehend von unserem großen Shopsysteme-Test werden wir in den kommenden Wochen beleuchten, was zum Basisschutz Ihres Online-Shops gehört. Wir starten heute mit dem Thema Firewall, erklären Ihnen, was eine Firewall eigentlich ist und was Sie beim Einsatz beachten sollten.
Was ist eine Firewall?
Eine Firewall lässt sich als Barriere bezeichnen, die ganze Netzwerke sowie einzelne Netzwerkbereiche vor schädlichem Datenverkehr und Hackerangriffen schützt. Dabei wird die Netzwerk-Firewall an der Grenze zweier Netzwerke installiert. Diese Grenze befindet sich in aller Regel zwischen dem World Wide Web und dem Unternehmensnetzwerk. Weiter existieren sogenannte Client-Firewalls, die stationär installiert werden und ausschließlich den Rechner eines Endbenutzers schützen.
Firewalls existieren als Hard- und Software-Ausführungen. Der gesamte eingehende und ausgehende Datenverkehr wird von der Firewall untersucht und anhand bestimmter, vorher konfigurierter Kriterien geprüft. Zugelassen wird der Datenverkehr, wenn er den gesetzten Kriterien entspricht. Wenn nicht, wird der Datenverkehr blockiert. Gefiltert wird der Datenverkehr anhand der folgenden Kriterien:
Adressfilterung: überprüft werden Quell-, Zieladressen und Portnummern
Protokollfilterung: überprüft wird die Art des Netzwerkverkehrs, also beispielsweise HTTP oder FTP
auch die Attribute bzw. der Status von gesendeten Informationspaketen wird einer Prüfung unterzogen
Der Branchenverband Bitkom führte im Juli 2015 eine Studie zu Wirtschaftsschutz und Cybercrime durch. Die Wichtigkeit einer Firewall scheint angekommen zu sein: „Alle befragten Unternehmen nutzen Virenscanner, Firewalls sowie einen Passwortschutz für Computer und andere Kommunikationsgeräte“, heißt es in der Presseinformation zur Studie. Jedoch bieten Firewalls nicht automatisch den erforderlichen Schutz, sondern auf die Konfiguration kommt es an.
Die Antwort auf die Frage, wie denn eine Firewall richtig konfiguriert wird, ändert sich fortlaufend. Es lohnt sich, auch die Firewall im Unternehmen professionell auditieren zu lassen. Bei Fragen zum Thema können Sie sich gerne an unsere geschulten Sicherheitsexperten wenden. Warum regelmäßige Prüfungen sinnvoll sind? Anwendungen, Nutzer und neue Geräte können hinzukommen, Zugriffsberechtigungen ändern sich mit der Aufgaben- und Rollenverteilung in Unternehmen, Clouds und mobile Endgeräte finden Einzug. Firewalls sind nicht nur zum Schutz der stationären IT sinnvoll, sondern es gilt auch, Anwendungen im Netzwerk, in Clouds oder auf mobilen Endgeräten zu überwachen. Neben Änderungen der bestehenden IT-Landschaft machen auch Änderungen in der Bedrohungswelt regelmäßige Prüfungen sowie Anpassungen erforderlich. Findet dies nicht statt, können einmal gesetzte Regeln vom tatsächlichen Schutzbedarf enorm abweichen, was Angreifern Tür und Tor öffnet, um vertrauliche Daten auszuspähen. Wie oft Prüfungen vonnöten sind, hängt maßgeblich von der Risikolage sowie von Änderungen der bestehenden IT ab.
Dabei gilt es, nicht nur die Konfiguration der Firewall regelmäßig mit der Realität abzugleichen. Auch die Firewall-Protokollierungen werden idealerweise geschützt. Bedeutet, dass Protokolle verschlüsselt und nach dem Vier-Augen-Prinzip auditiert und möglichst datensparsam abgelegt werden.
Verschiedene Firewall-Ansätze
Firewalls können verschiedenen Ansätzen folgen: da wäre als einfachste Ausführung der paketfilternde Router zu nennen. Auf dem Router werden verschiedene Paketfilter konfiguriert, die den Datenverkehr mithilfe von Absender-, Zieladressen und Portnummern kontrollieren. Gängige IP-Router arbeiten mit diesem Verfahren standardmäßig. Dadurch, dass es ein sehr einfaches Verfahren ist, ist es auch recht kostengünstig – jedoch auch sehr unsicher, wenn man auf weitere Maßnahmen verzichtet. Schon das einfach zu realisierende Fälschen einer IP-Adresse genügt, um sich unbefugten Zugang zu verschaffen.
Schaltet man ein Firewall-System zwischen zwei paketfilternden Routern, entsteht das Verfahren „Bastion Host“. Ein externer Router zeigt sich dafür zuständig, den IP-Verkehr zwischen Bastion Host und Internet zu filtern, ein interner Router gestattet ausschließlich den IP-Verkehr zwischen dem internen Netz und dem Bastion Host. Der Schutz ist sehr effizient, jedoch auch kostspielig, da neben zwei Routern ein Firewall-System benötigt wird und der Konfigurationsaufwand relativ hoch ausfällt.
Mit einem Firewall-Server finden viele Unternehmen eine gut administrierbare und effiziente Lösung. Denn dieser beherrscht diese Funktionen: interner und externer Firewall-Router, Bastion-Host sowie Internet Application Server. Damit ist eine Komplettlösung gefunden, die alle Server für sämtliche relevanten Internetdienste inkludiert. Mehrere Methoden zum Filtern und Steuerungen für Zugriffe sorgen für das Erreichen einer hohen Sicherheitsstufe.
Angriffsszenarien gegenüber Firewalls
Zu den häufigsten Angriffsszenarien gelten Einbrüche: Angreifer verwenden den fremden Rechner für sich. Somit können Benutzerdaten, Kennungen und Dateien ausgespäht und manipuliert werden. Einbrüche bleiben sehr häufig unentdeckt; Angreifer können sich spurlos durchmogeln. Auch das Lahmlegen eines Dienstes ist ein häufiges Szenario: andere User sollen am Benutzen eines bestimmten Rechners oder eines bestimmten Ports gehindert werden. Diese Form der elektronischen Sabotage kann zum Zerstören von Daten sowie zum Ausfall des Geräts führen. Meist werden Angriffe dieser Art mit Informationsüberflutung inszeniert, das bedeutet, dass der Eindringlich das System bzw. Netz derartig mit Netzanfragen, Nachrichten oder sonstigen Prozessen überlastet, dass der User nicht mehr effektiv arbeiten kann. Auch wäre es denkbar, dass der Angreifer bestimmte Dienste deaktiviert, ersetzt oder umleitet.
Oftmals werden leider Usernamen, Passwörter und Kennungen unverschlüsselt im Klartext übermittelt, womit sie innerhalb des Netzwerks abhörbar sind. Auch dies machen sich Angreifer zunutze für den Informationsdiebstahl. Netztechnologien wie das nahezu überall gegenwärtige Ethernet oder auch Token Ring machen den gesamten Netzwerkehr im lokalen Netz abhörbar. Wie bei Einbrüchen hinterlassen Angreifer oftmals keinerlei Spuren, sodass der Informationsdiebstahl selten entdeckt wird.
Prüfen der Firewall
Wenngleich jedes Unternehmen andere Risiken abzudecken hat, existieren einige allgemeingültige Hinweise für die Konfiguration bzw. den generellen Einsatz von Firewalls. Dazu gehört es zunächst, einen formalen Prozess zum Testen und Freigeben der Einstellungen der Firewall zu finden. In diesem Prozess sollten o. e. Änderungen der IT-Landschaft zwingend bedacht werden. Grundsätzlich sollte für die Konfiguration der Firewall zudem gelten, minimale Zugriffs- bzw. Verbindungsberechtigungen zu vergeben. Je kleiner der Zugriffskreis, umso geringer die potenziellen Risiken.
Berücksichtigen Sie neben den Firewalls für Ihre Netzwerke auch Firewalls für Applikationen und Clouds sowie mobile Endgeräte. Beim Prüfen schauen Sie bitte nicht nur darauf, ob die jeweiligen Firewalls aktiv sind, sondern auch darauf, ob die Konfigurationen korrekt sind – hier unterstützt das Entwickeln eines formalen Prozesses. Wenn Regelwerksänderungen bei den Firewalls erfolgen, müssen diese revisionssicher, außerdem begründet und nicht zuletzt dokumentiert werden. Firewall-Prüfungen sollten sehr regelmäßig stattfinden und idealerweise werden die Protokolle nach dem Vier-Augen-Prinzip ausgewertet.
Falls Sie auf Firewall Audit-Tools setzen, prüfen Sie bitte, ob das Tool die Firewall-Konfigurationen optimieren konnte. Prüfen Sie zudem, ob sämtliche Firewalls, die Sie im Unternehmen einsetzen, von dem Tool wirklich unterstützt werden. Die Konfigurationen eines solchen Tools prüfen Sie idealerweise in einer Testumgebung. Werden fehlerhafte Einstellungen gemeldet? Passt das Tool zu den eingesetzten Hard- und Software-Firewalls? Können Sie sinnvolle Schlüsse aus den Protokolldateien ziehen? Und bewahren Sie diese Berichte manipulationssicher auf?
Regelwerk der Firewall aufräumen
Wie Sie aus den bisherigen Informationen herauslesen konnten, ist das Regelwerk einer Firewall einer der wichtigsten Punkte. Es gilt, das Regelwerk regelmäßig zu entrümpeln und auf aktuelle Gegebenheiten anzupassen. Ihre aktuellen Gegebenheiten können wir nicht kennen, jedoch gibt es auch zum Entrümpeln des Regelkatalogs einige allgemeingültige Hinweise, die wir Ihnen gerne vorstellen. Im Laufe der Zeit sammeln sich viele Regeln an und vor allem, wenn mehrere Administratoren an derselben Firewall hantieren, kann es zu Leistungseinbußen kommen. Die Wartung wird erschwert und Sicherheitsrisiken erhöht. Gerade für Sie als Online-Shop-Betreiber kommen wichtige Regeln wie der PCI-DS-Standard hinzu, der von Ihnen das Entfernen von nicht benötigten Regeln und Objekten erfordert. Die folgenden Best Practice-Ansätze helfen Ihnen beim Aufräumen Ihres Firewall- und Router-Regelwerks; sämtliche Punkte können Sie manuell abarbeiten. Verwenden Sie eine Software zum Verwalten der Konfiguration, wird das meiste automatisiert vonstatten gehen:
„Shadow“- & ungenutzte Regeln löschen: Widersprüchliche Regeln werden als „shadow“ bezeichnet und haben überhaupt keinen Effekt. Dasselbe gilt für ungenutzte oder bereits abgelaufene Regeln. Löschen Sie diese.
Ungenutzte Verbindungen: Sind Quell-/ Ziel-/ Service-Router eingetragen, die Sie nicht verwenden, löschen Sie diese.
Benennungsregeln: Protokollieren Sie die Benennung der Regeln und behalten Sie diese bei, damit das Regelwerk für jeden verständlich bleibt. Setzen Sie dabei auf logische Formate, beispielsweise „Rechnername“_IP für Ihre Hosts.
Duplikate: löschen Sie auch Objekt- oder Regel-Duplikate, also beispielsweise Dienste oder auch Hosts, die mehrmals unter verschiedenen Namen auftauchen.
Lange Regelsätze: Gewöhnen Sie sich an, lange Regelsätze in lesbare Stücke zu gliedern. Setzen Sie sich dafür beispielsweise ein Maximum von 20 Regeln je Regelsatz. Auch gilt es, die Komplexität eines Regelwerks dadurch zu verringern, dass sich Regeln nie überlappen.
Dokumentation: Regeln, Änderungen, Benennungen sowie Objekte werden inklusive ihrer Verwendung dokumentiert und sicher verwahrt.
Zonenbasierende Compliance-Policy: nachdem Sie die Policies definiert haben, prüfen Sie diese mithilfe eines Audit-Reports.
Priorität des Regelwerks: Häufig verwendete Regeln gehören nach oben sortiert. Viele Firewalls bearbeiten Pakete mithilfe entsprechend optimierter Algorithmen, sodass die Reihenfolge egal ist. Gehört Ihre nicht dazu, sollten Sie die Regeln nach Priorität sortieren, um Übersichtlichkeit zu gewährleisten.
Trennung von Firewall und VPN: trennen Sie Ihre Firewalls von VPNs, zwingt die VPN-Verarbeitung die Performance Ihrer Firewall nicht in die Knie.
Aktuelle Software: Neue Versionen bringen häufig Sicherheits- und Leistungsvorteile, manchmal aber auch neue Funktionen, sodass ein Leistungszuwachs nicht immer gegeben ist. Damit Angreifer keine alten Lücken ausnutzen können, achten Sie auf die Aktualität Ihrer Firewall.
Schnittstellen: Die Firewall-Schnittstellen sind auf die Switch- und Router-Schnittstellen abgestimmt. Bedeutet: arbeitet Ihr Router halbduplex, sollte auch Ihre Firewall auf halbduplex konfiguriert sein. Firewall und Switch melden idealerweise denselben Duplexmodus und dieselbe Geschwindigkeit.
Firewall-Ausfall – was tun?
Die besten und übersichtlichsten Regeln nützen gar nichts, wenn die Firewall ausfällt – Ausfälle können zwischen Minuten bis Stunden andauern. Um gerüstet zu sein, treffen Sie entsprechende Vorkehrungen: es kann nicht ausreichen, über ein Ersatzgerät zu verfügen, wenn die Firewall ausfällt, sondern dieser Ersatz muss bei einem Ausfall automatisch anspringen. So können Sie etwa eine Firewall konfiguriert und aktiv haben, während eine weitere als Standby-Firewall fungiert. Mit einem Failover-Kabel – hier genügt ein entsprechend modifiziertes Seriell-Link-Kabel – verbinden Sie beide Geräte. Konfigurieren Sie so, dass sich beide Firewalls in einem vorgegebenen Intervall, etwa alle paar Sekunden, Nachrichten senden. Wenn eine Kommunikation unbestätigt bleibt, schreiben Sie weitere Kommunikationsversuche vor. Bleiben auch diese unbeantwortet, können Sie so konfigurieren, dass das System von einem Failover ausgeht und das Standby-Gerät zu einer aktiven Firewall wird.
Das Koppeln der Firewall mit einem Überwachungsmodul ist ebenfalls anzuraten. So stellen Sie sicher, dass zu blockierende Inhalte auch tatsächlich blockiert werden. Integrieren Sie Alarmmechanismen, die Sie auf etwaige Unregelmäßigkeiten und/ oder Fehler hinweisen.
Die Firewall: Fazit
Firewalls sind unabdingbar, um Ihren Online-Shop vor Manipulationen, Zugriffen und Spionage zu schützen. Aufgrund der Möglichkeit, Zugriffsrechte zu verteilen, schützen Firewalls vor etwaigen unberechtigten Zugriffen sowohl von innen als auch von außen. Unerwünschter Datenverkehr wird blockiert, sodass die Firewall Ihre Systeme auch vor Malware schützt. Zusammenfassend lässt sich sagen, dass eine Firewall idealerweise …
… Zugriffe aufs Internet und Netzwerk kontrolliert,
… den Datenverkehr für ein- und ausgehende Verbindungen absichert,
… Anwendungen proaktiv kontrolliert,
… die Privatsphäre schützt und
… bei Aktivitäten, die von der Routine abweichen und damit verdächtig sind, alarmiert.
Eine Firewall gehört zweifelsfrei zum Basisschutz, kann jedoch nicht alleine für den Schutz garantieren. Wie die eingangs erwähnte Bitkom-Studie zeigt, verwenden sämtliche befragten Unternehmen eine Firewall. Jedoch ist das reine Aktivieren der Firewall nicht alles: die Konfigurationen müssen individuell auf Ihre Risiken sowie Ihre IT-Landschaft abgestimmt sein. Prüfen und protokollieren Sie regelmäßig, so ist Ihr Online-Shop durch die Firewall erheblich sicherer.
Die Firewall – Ihr Türsteher zwischen Rechner und Netzwerk
Firewall heißt auf Deutsch „Brandmauer“, und damit wird schon sehr deutlich, worum es geht – nämlich den Schutz vor Schäden von außen. Auf Ihren Computer bezogen, meint dies den Schutz vor Gefahren, die im Internet oder anderen Netzwerken lauern. Das kann z. B. schädliche Software, sogenannte Malware, sein. Das sind Viren oder Spyware, die Ihren Rechner befallen bzw. eingeschleust werden, um sensible Daten zu sammeln, zu verändern oder bestimmte Systemfunktionen zu stören, und dadurch das Betriebssystem im schlimmsten Fall komplett lahmlegen. Eine Firewall kann das verhindern.
Die Firewall ist laut Definition eine Art Prüfstelle, die zwischen das Internet oder ein anderes Netzwerk und den lokalen Computer geschaltet ist. Sie prüft dieZugriffsrechte von Programmen und fremden Rechnern, und zwar in beide Richtungen. Die Konfiguration der Firewall entscheidet also sowohl darüber, ob auf Ihrem Rechner installierte Programme auf das Internet zugreifen können, als auch über den umgekehrten Fall. Und auch die Kommunikation zwischen Ihrem und anderen Computern innerhalb eines Netzwerks wird über die Firewall geregelt.
Tagged: