Firewalls – das Geschäft mit der Sicherheit

Sind Ihre Daten sicher? Und die Ihrer Kunden auch? Virtuelle Brandschutzmauern bzw. Firewalls sollen dabei helfen, dass sowohl Firmenchefs als auch Kunden ruhiger schlafen können. Doch welche Firewall ist die richtige? Wer die Wahl hat…

Nach einer Studie, die vom FBI in Zusammenarbeit mit dem Computer Security Institute erstellt wurde, haben 90% der befragten Unternehmen und Institutionen in den letzten 12 Monaten Sicherheitsverletzungen in ihren Computersystemen festgestellt. Häufigste Ursache für unliebsame Störungen waren dabei Computerviren (85%) sowie Beeinträchtigungen, die aufgrund des Missbrauchs persönlicher Zugriffsrechte durch die eigenen Mitarbeiter (79%) zustande kamen. Lassen sich die unternehmensinternen Netze nicht besser schützen, fragen sich vor diesem Hintergrund zahlreiche IT-Laien.

Dabei fällt zumeist das Stichwort „Firewall“. Bei 73% der Unternehmen stellt sie, nach dem Einsatz von Anti-Viren-Software (83%), immer noch die am häufigsten verwendete Abwehrmaßnahme dar. Das belegt schon der Blick auf die Zahlen: So prognostizieren die Marktforscher von Frost & Sullivan allein im Firewall-Sektor bis 2006 einen Umsatz von 439 Millionen US$.

Die virtuellen Brandschutzmauern sollen den Datentransfer im Internet sicherer gestalten. Aber das ist der zweite Schritt, denn die Grundlage für den Einsatz eines Firewall-Systems sollte in jedem Fall ein gut funktionierendes Sicherheitskonzept (Security-Policy) sein. Es erscheint geradezu als ein Ding der Unmöglichkeit, sich ohne ein schlüssiges Sicherheitskonzept per se für diese oder jene Lösung zu entscheiden. Was will ich vor wem und womit schützen, lautet die zentrale Fragestellung. Neben der eigentlichen Firewall-Lösung kommt hierbei eben auch dem Aspekt der Administration eine entscheidende Bedeutung zu. Denn nur wenn in einem Unternehmen das Thema Datensicherheit sensibel genug behandelt wird, kann auch eine Firewall ihre Dienste sinnvoll erfüllen.

Ein Langzeit-Sicherheitsplan kann dabei helfen, die Sicherheitsrisiken richtig einzuschätzen. Hierbei empfiehlt es sich, folgende grundlegende Fragen zu stellen:

Wie viel sind meine Daten wert?
Wie viel würde es kosten, wenn diese Daten verloren gingen?
Wie teuer ist ein Schutz dieser Daten?

Jeder sollte sich darüber im Klaren sein, dass sich Hacker bzw. auch unbefugt zugreifende Mitarbeiter nie hundertprozentig aus einem System fernhalten lassen, ganz egal, wie hoch das Sicherheitsbudget auch ist. Daher gilt es, sich für einen wirtschaftlich sinnvollen und zugleich sicheren Mittelweg zu entscheiden. Stellen Sie sich zu Beginn die Frage, welchen Vorteil sie sich durch die Implementierung der Security-Lösung erwarten und welches Restrisiko Sie einzugehen bereit sind. Davon sollte auch die Höhe Ihres IT-Budgets abhängen. Die meisten Unternehmen geben für die Einbindung von Sicherheitstechnologien zwischen 0,1-2,0% ihres IT-Budgets aus.

Doch wie hoch der Sicherheitsetat auch bemessen ist, auch im Internet gilt: Geld ist längst nicht alles und jedes Sicherheitssystem ist nur so gut wie derjenige, der es einsetzt. Der Mensch bleibt das schwächste Glied in der Kette. Eine gute funktionierende Sicherheitspolitik verlangt dementsprechend auch das Wissen darüber, wann die IT-Sicherheit zu löchrig geworden ist. Firewalls können lediglich dabei helfen, Löcher zu stopfen.

Auf dem Markt befindliche Firewall-Lösungen liegen in unterschiedlichen Ausprägungen für verschiedene Einsatzkonzepte vor, z.B. Lösungen für weltumspannende Firmennetze oder den SOHO-Betrieb (SingleOffice-HomeOffice). Technisch basieren alle existierenden Systeme auf den drei folgenden grundlegenden Konzepten:

 • Paket-Filter
 • Application Level Firewall
 • Stateful Packet Filtering

Paket-Filter
Paket-Filter stellen die älteste und einfachste Form des Schutzes dar. Eine Firewall auf Paket-Filter-Basis ist nichts anderes als ein Router, der eintreffende IP-Pakete danach unterscheidet, ob deren Weiterleitung erlaubt oder verboten ist. Filter analysieren den Vorspann (Header) von Datenpaketen, sie können diesen z.B. nach Ziel- oder Herkunfts-Adressen auswerten und mit Aktionen verknüpfen. Anhand einer Menge von Filtern wird jedes einzelne Paket überprüft, wenn es die Firewall durchläuft und entweder durchgelassen oder zurückgewiesen. Wichtige Bestandteile von Filterregeln sind die Beschreibung nach Quell- und Zieladresse (IP) sowie nach Quell- und Zielport (TCP/UDP). Somit kann anhand der Paket-Filter eingeschränkt werden, welche Rechner im geschütztem und welche im ungeschütztem Netz an der Kommunikation beteiligt sein dürfen, sowie welche Kommunikationsdienste (z.B. FTP, Telnet etc.) erlaubt sind.

Gegen zahlreiche Angriffsstrategien, z.B. Address Spoofing (Vortäuschen vertrauenswürdiger Adressen) oder Dienste-Tunneling, bieten einfache Paket-Filter jedoch keinen ausreichenden Schutz. Die Verwaltung von großen Netzen und damit komplexen Sätzen von Filterregeln erschwert die Nutzung und laufende Pflege einer Paket-Filter-Firewall. Ferner wirkt sich nachteilig aus, dass die interne Netzstruktur gegenüber Zugriffen von außen relativ offen liegt. Dies ist insofern problematisch, da die Adresse des lokalen Netzes damit potentiellen Angreifern bereits erste Anhaltspunkte über die interne Netzstruktur bietet (eine Kombination eines Paket-Filter mit einer Adressenverschleierung, NAT Network Address Translation löst dieses Problem). Paket-Filter besitzen dennoch einen nicht zu unterschätzenden Vorteil: Sie sind schnell und können durch reine Software-Lösungen realisiert werden.

Application Level Gateway
Eine Application Level Firewall ist wie jede Firewall ein eigens konfigurierter Rechner, über den die gesamte Kommunikation zwischen dem zu sichernden und dem unsicheren Netz (z.B. Internet) stattfindet. Dabei liegt das Hauptunterscheidungsmerkmal zum herkömmlichen Paket-Filter darin, dass ein Application Level Gateway auf Ebene der Anwendungen arbeitet. Das bedeutet, dass für jeden einzelnen gewünschten Dienst so genannte Stellvertreter (Proxies) eingeführt werden, die einen direkten Netz-Zugriff verhindern. Die Verbindungen zwischen dem internen und externen Netz werden von den Stellvertretern nach vorgegebenen Kriterien kontrolliert. Dabei werden nicht nur die Vorspänne der Pakete sondern die Inhalte der übermittelten Daten inspiziert. Die Kontrolle erfolgt somit auf der gleichen logischen Ebene wie die eigentliche Kommunikation.

Dieser Firewall-Typ verbirgt die interne Netz-Struktur vollständig, da Informationen und Abfragen des lokalen Netzes nur über den Gateway nach außen dringen. Da ein Application Level Gateway die Inhalte der Pakete analysiert, besteht die Möglichkeit einer umfangreichen Protokollierung sowie einer benutzerbezogenen Authentisierung der unterschiedlichen Dienste. Nachteilig wirkt sich bei Application Level Gateways die Tatsache aus, dass die hohe Sicherheit durch eine gewisse Unhandlichkeit erkauft wird: Für jeden zu nutzenden Dienst muss ein entsprechender Stellvertreter vorhanden sein. Aufgrund des hohen Analyseanteiles waren in der Vergangenheit reine Software-Lösungen vielfach für schnelle Anschlüsse nicht performant genug. Durch den Einsatz von spezieller Hardware, z.B. ASICs, können inzwischen Application-Level-Lösungen auch für sehr hohe Bandbreiten realisiert werden.

SPF – Stateful Packet Filtering
Bei der „dynamischen Paketfilterung“ werden im laufenden Betrieb abhängig vom Betriebszustand einzelner Dienste neue Regeln in die Regelbasis aufgenommen oder wieder entfernt. Hier bezieht sich die Filterung von Paketen auf die Möglichkeit einzelne Verbindungen anhand des IP-Paket-Vorspannes zu überprüfen und damit neben Quelle, Ziel und Transportprotokoll des Paketes auch den aktuellen Zustand festzustellen. Dies vermögen herkömmliche Paketfilter nicht zu leisten, da sie statisch arbeiten und festgelegte Regeln, die auf dem Headerinhalt basieren, verwenden.

Im Vergleich zu den beiden bisher genannten Methoden, kann die Stateful Inspection oder Stateful Packet Filter sowohl auf der Netz- als auch auf der Anwendungsschicht arbeiten. Dabei werden die IP-Pakete bereits auf der Netzschicht von einem Analysemodul entgegengenommen. Dieses Modul wird dynamisch geladen und inspiziert den Datenverkehr zustandsabhängig. Durch die Möglichkeit, die Regeln dynamisch zu ändern, kann auf die verschiedenen Zustände reagiert werden und damit das Sicherheitsniveau gegenüber einem herkömmlichen Paket-Filter gesteigert werden. Gleichzeitig kann der Geschwindigkeitsvorteil gegenüber einem Application Gateway beibehalten werden.

Firewall-Architekturen
Die geschilderten Konzepte lassen sich in marktgängigen Systeme in unterschiedlicher Reinkultur wiederfinden. Eine klare Abgrenzung ist in der Regel nicht mehr möglich, da alle Hersteller hybride Ansätze (Stateful Packet Filtering & Application Level) fahren, um die Vorteile der verschiedenen Ansätze zu kombinieren.

Zur besseren Übersicht sind die Vor- und Nachteile der einzelnen Firewall-Basiskonzepte noch einmal aufgeführt:

Paket-Filter
 • Vorteile:
Leicht realisierbar Ist in vielen Routern bereits implementiert Hohe Geschwindigkeit
 • Nachteile:
relativ niedriges erreichbares Sicherheitsniveau eingeschränkte Protokollierungs-möglichkeiten

Application Level Gateway
 • Vorteile:
Hohes Sicherheitsniveau erreichbar Kein direkter Netz-Zugang Die interne Netzstruktur wird verdeckt Umfassende Protokollierungs-möglichkeiten
 • Nachteile:
komplexerer (und damit in der Regel teuerer) Ansatz Probleme bei neuen Diensten teilweise niedriger Nutzungskomfort

Stateful Inspection
 • Vorteile:
Gut zu skalieren, da es auf Netz- und Anwendungsschicht arbeitet bei sorgfältiger Konfiguration hohes Sicherheitsniveau erreichbar
 • Nachteile:
nur bei sorgfältiger Konfiguration hohes Sicherheitsniveau erreichbar

Firewall-Zubehör
Da Firewalls nur einen Baustein in einer vollständigen Sicherheitsarchitektur darstellen, werden von den Herstellern in der Regel Add-Ons zu den Firewalls angeboten. Diese können unterschiedlichster Art sein, wie z.B.:

 • Content-Screening, Content-Checking, automatische Email- und Web-Filtering (Viren, Java, Javascript, Active-X)
 • VPN (Virtual Private Network)-Unterstützung (Verschlüsselung zu anderen Standorten), Verschlüsselung, IPSec, VPN-Beschleuniger-Hardware
 • Authentifizierung (Keycards, Zertifikate, X.509, PKI)
 • Accounting, Reporting
 • Intrusion Detection, Alarming
 • Load-Balancing, Load-Sharing, Lastverteilung, Bandbreitenmanagement
 • Dynamic Failover, Multi-Processor-Support, Cluster-Betrieb
 • Zentralisiertes Management mehrerer Firewalls
 • Automatischer Update-Service
 • Remote-Administration (z.B. durch den Hersteller)

Die Checkliste
Bevor Sie sich für eine Firewall-Lösung entscheiden, sollte Sie umfassende Planungen durchführen. Dabei kann eine Firewall-Checkliste sehr hilfreich sein.

Dieser Artikel erschien am und wurde am aktualisiert.
Nach oben scrollen