Je mehr sich interne Netze für externe Zugriffe durch Kunden oder Mitarbeiter im Außendienst öffnen, desto größer die Gefahr, dass Material ungewollt hinein und hinausfließt. Firewalls an der Schnittstelle zwischen den Netzwelten versuchen Unerwünschtes aufzuhalten. Allerdings sind die besten Systeme nur so gut, wie die Umgebung, in die sie hineininstalliert werden.
Vor dem Kauf steht die Definition des Sicherheitsanspruchs
Welche Firewall-Lösung für das Unternehmen optimal ist, hängt von sehr vielen Faktoren ab. Es ist sinnvoll, den Aufwand für Sicherheitslösungen in Relation zur potenziellen Gefährdung der zu schützenden Daten zu stellen. Deshalb steht die Frage nach dem Wert der Informationen im Unternehmen ganz vorn: Wie viel ist der Schutz der Systeme wert? Wie teuer wären eventuelle Ausfallzeiten? Schließlich soll sich die Firewall-Lösung der sonstigen Sicherheitssystematik des Unternehmens – von der Public-Key-Infrastruktur bis zum Werksschutz – harmonisch einpassen.
Für eine wirkungsvolle Integration der Firewall-Lösung in das Sicherheitskonzept des Unternehmens ist zunächst eine Policy-Tabelle zu erarbeiten, die präzise widerspiegelt, wie der Netzzugang für wen möglich sein soll. Üblicherweise ordnet man die Zugangsberechtigungen hierachisch. Vom komplett abgeschotteten Firmennetz ausgehend steht der wichtigste Netzzugang ganz oben, die Zugangsberechtigung mit der geringsten Priorität ganz unten. Je weniger Türen Sie öffnen, desto unanfälliger das Gesamtsystem. Bei der späteren Planung der technischen Umsetzung gehen Sie genau umgekehrt vor.
Zugang für wen und warum?
Die Security Policy legt nicht nur fest, wie ein Paßwort aussehen muss, damit es als sicher gelten kann und wie die Mitarbeiter damit verfahren sollten. Hier wird auch geregelt, wer mit oder auch ohne Authentifizierung welche Dienste im Netz in Anspruch nehmen kann. Eine entsprechende Aufstellung ist für jeden einzelnen Netz-Service notwendig. Dürfen alle Mitarbeiter in das Internet oder nur bestimmte Gruppen? Sollen Mitarbeiter von unterwegs oder zuhause auf das Netz zugreifen können? Für den Fall, dass bestimmte Websites von der Firewall geblockt werden müssen, ist auch diese Ausschluss-Liste zu erstellen. Virenschutz, um ein weiteres Beispiel zu nennen, kann entweder nur für den eMail-Dienst oder auch für FTP-Zugriffe realisiert werden. Werden über eMail sensible Daten verschickt, die einer Verschlüsselung unterliegen sollten? Sollen Niederlassungen über ein VPN auf den zentralen Rechner zugreifen können?
Gute Pflege, Herr Administrator?
Professionelle Firewall-Systeme stellen große Anforderungen an das Know-how der Administratoren im Unternehmen. Hacker suchen ständig nach neuen Sicherheitslücken in den Systemen. Die gestern noch als sicher angesehene Sicherheitskonfiguration kann heute schon so offen sein, wie das sprichwörtliche Scheunentor. Deshalb kann es sehr aufwendig sein, im Wettlauf um die Sicherheit des Unternehmensnetzes verlässlich vorne zu liegen, zumal man den firmeninternen Administratoren nur im Ausnahmefall intime Kenntnisse der Soft- und Hardwarekomponenten unterstellen kann. Zur Pflege des Firewall-Systems gehört deshalb zunächst das Training der Unternehmensmitarbeiter. Sie sind dafür zuständig, die Lösung auf dem neuesten Stand zu halten und verfügbare Bugfixes oder aktualisierte Virendefinitionen zu integrieren. Erfahrene Anbieter von Sicherheits-Lösungen für den IT-Bereich wissen, dass vielbeschäftigte Netzadministratoren die Zeit für derartige Systempflege oft nicht aufbringen und bieten deshalb die externe Pflege der Firewall-Systeme mit an. So statisch das System Firewall dem Namen nach klingt, so dynamisch ist es in der Anwendung.
Skalierbare Sicherheit
Je nachdem, welches Sicherheitsniveau ein Unternehmen erreichen will, ergeben sich unterschiedlich komplexe Lösungen für die Schnittstelle internes und externes Netz. Um überhaupt die Verbindung der internen Rechner mit dem Internet darzustellen, sozusagen die unterste Stufe im Konzept, ist ein einfacher Router ausreichend. Größere Unternehmen verarbeiten ihr Datenaufkommen schließlich über eigene File-Server und verfügen in der Regel auch über hauseigene eMail-Server und Web-Server. Ohne weitere Schutzmaßnahmen gewährt ein Router aber jedem externen Rechner uneingeschränkten Zugriff auf die unternehmens-internen Rechner. Neben dem gewünschten Zugriff auf die Web-Server und dem ebenfalls vorgesehenen Eintreffen von eMails am Mail-Server, sind einem Eindringling auch der File-Server und die Client-Rechner der Mitarbeiter uneingeschränkt erreichbar. So besteht die Gefahr, dass vertrauliche interne Daten gehackt und manipuliert werden.
Router, die selektieren
Eine einfache und auch im Small-Office-Bereich etablierte Möglichkeit zum Schutz des eigenen Netzes, bieten Router mit integriertem Paket-Filter. Der Router wird mit sogenannten Access-Lists versehen. Diese Access-Lists bewirken, dass der Router den Verkehr auf erlaubte Dienste, zum Beispiel HTTP für das World Wide Web oder SMTP für eMail-Verkehr, und zugriffsberechtigte IP-Adressen einschränkt. Andere Protokolle werden durch den Paket-Filter geblockt. In dieser Weise lässt sich recht einfach der Zugriff für den File-Server und die Client-Rechner auf die berechtigten Dienste einschränken. Diese Lösung muss individuell, nach Maßgabe der Sicherheitspolicy eines Unternehmens, erstellt werden. Sie gerät aber an ihre Grenzen, wenn es um die Prüfung der Dateninhalte, zum Beispiel auf den Befall durch Computerviren, oder die Überwachung des Zugriffs auf den höheren Protokollschichten geht.
Firewall in zwei Stufen
Die Sicherheit lässt sich steigern, indem nach dem Router eine zusätzliche Firewall-Lösung geschaltet wird. Die Firewall überwacht den korrekten Ablauf der Protokolle und verhindert, dass unerwünschte Seiteneffekte ausgenutzt werden. Weiterhin können Firewalls mit der Überwachung der Inhalte betraut werden. Hier werden die Datenpakete auf Viren gescannt und neben den IP-Adressen auch einzelne URLs (Web-Sites) gefiltert. Das Unternehmen kann festlegen, welche Web-Sites von den Mitarbeitern geladen werden können und welche nicht. So lassen sich zum einen der Zugriff auf Web-Sites auch nach inhaltlichen Kriterien steuern und zum anderen Angriffe durch Computerviren erfolgreich abwehren. Für größere Sicherheitsbedürfnisse wird der Virenscan im Exchange-Server und an den Arbeitsplatzrechnern wiederholt.
Die zweite Stufe der Firewall-Lösung übernimmt aber noch weitere Kernaufgaben der Netz-Sicherheit. Eine weit verbreitete Angriffsmethode besteht darin, die Server mit unzähligen Anfragen an die Grenze ihrer Leistungsfähigkeit zu bringen. Der Server stürzt in der Folge ab oder wird von außen unerreichbar. Eine leistungsfähige Firewall wehrt diese Denial-of-service-Attacken ab.
Weiter wacht die Firewall über offene Ports. Bei einem Server-Zugriff über das FTP-Protokoll beispielsweise sorgt die Firewall dafür, dass nur die benötigten Ports geöffnet werden. Schließlich liegt ein großer Sicherheitsgewinn des zweistufigen Konzeptes darin, dass ein Hacker sowohl den Screening-Router als auch die Firewall überwinden muss.
Abkoppeln vom Internet
Die höchste Schutzstufe für Netze ist realisiert, wenn alle öffentlich zugänglichen Server aus dem internen Netz herausgenommen und in eine Demilitarized Zone (DMZ) gesetzt werden. In diesem Fall werden Daten vom und zum unternehmens-internen Netz ausschließlich über die DMZ geleitet. Die DMZ ist ein eigener Bereich im Unternehmens-Netz, der alle ein- und ausgehenden Daten durch eines oder mehrere Firewall-Systeme führt. Das gilt auch für den Datenaustausch der DMZ mit dem internen Netz. Die DMZ hält als Daten-Quarantäne Viren und Hackerangriffe von den vertraulichen internen File-Services fern. In ihr finden deshalb alle Server Platz, deren Dienste auch nach außen angeboten werden sollen. Eine eMail würde so, bevor sie den Client-Rechner des Adressaten im Unternehmen erreicht, zweimal eine Firewall passieren. Das erste Mal bevor sie im eMail-Server in der DMZ ankommt und das zweite Mal beim Übergang von der DMZ in das interne Netz.
Eine vergleichbare Sicherheitsqualität ist für den Web-Zugriff realisiert. Denn die Arbeitsplatz-Rechner greifen nicht direkt auf die Web-Sites im Internet zu, sondern holen sich die gewünschten Seiten von einem Proxy-Server in der DMZ. Der Proxy-Server ist der unternehmensinterne Stellvertreter der externen Server. Er hält beispielsweise Kopien von Web-Sites für die Client-Rechner vor. Auf diese Weise gibt es nirgends mehr im Unternehmen einen direkten Zugriff auf das Internet.
Die Firewall-Lösung mit einer DMZ hat darüber hinaus für stark frequentierte Netze noch einen Performance-Vorsprung. Moderne Firewall-Systeme verteilen über die Load-Balancing-Technologie den anfallenden Datenverkehr auf mehrere Server, die die Anfragen gleichmäßig belastet abarbeiten können. Für große Unternehmen wird es von Vorteil sein, mehrere Demilitarized Zones mit unterschiedlichen Sicherheitsvorkehrungen einzurichten. So kann zum Beispiel der eMail-Server durch eine Firewall mit Virenfilter geschützt sein. Aber ein zweiter Server für den Zugriff von Partnerunternehmen und ein dritter für Kunden in jeweils eigenen DMZs weisen vielleicht zusätzlich stärkere Schutzmechanismen auf. Welche Firewall-Lösung letztlich realisiert wird, wird wie gesagt davon abhängen, welche Sicherheitsregeln im Unternehmen gelten.
