So gut wie jedes IT-System mit direkter oder indirekter Internetanbindung wird heutzutage durch eine oder mehrere Firewalls geschützt. Dabei handelt es sich um IT-Systeme, die ein- und ausgehenden Datenverkehr untersuchen – und ihn nach bestimmten Regeln entweder erlauben oder verbieten. Sie sind gewissermaßen das Herzstück der IT-Sicherheit (nicht nur) in Unternehmen.
46 Prozent der deutschen Unternehmen wurden laut einer Statista-Befragung im Jahr 2021 Opfer einer oder mehrerer Cyber-Attacken. Dass diese in den meisten Fällen glimpflich ausgehen, ist nicht zuletzt gut funktionierenden Firewall-Systemen zu verdanken. Sie sorgen dafür, dass „böser” Datenverkehr von „gutem” unterschieden wird. Schließlich sollen Rechner und Firmennetzwerke im beruflichen Alltag genau das machen, was sie sollen – ohne dabei plötzlich von Fremden gekapert oder ausspioniert zu werden.
Doch wie funktioniert eine Firewall eigentlich und warum ist es bei Systemen ohne einen solchen Schutz nur eine Frage der Zeit, bis sie infiziert werden? Das und noch einiges mehr rund um die digitalen „Brandmauern” im Internet erfahren Sie in diesem Beitrag.
Was ist eine Firewall und warum ist sie für Unternehmen so wichtig?
Der Begriff der Firewall an sich ist schnell erklärt. Es handelt sich um eine Analogie aus dem Englischen, die übersetzt so viel wie „Brandmauer” oder „Brandschutzwand” bedeutet. Dabei liegt der Definition von Firewalls die Idee zugrunde, dass das öffentliche Internet nicht nur für „harmlosen” Datenverkehr genutzt wird, sondern es auch Kriminelle für ihre Zwecke missbrauchen. Diese legen gewissermaßen Brände im Internet, die ohne funktionierende Firewall allzu schnell auf weitere ungesicherte Rechner übergreifen.
Das Schlimme hieran ist: Selbst, wenn niemand aktiv Daten aus dem Internet abruft, prüfen Kriminelle mithilfe sogenannter Port-Scanner fortlaufend zufällig ausgewählte IP-Adressen und die zugehörigen, gängigen oder auch alle Ports auf Verwundbarkeit. Es reicht also, dass ein Rechner – oder ein Rechnerverbund – „ungeschützt“ eingeschaltet und mit dem Internet verbunden ist. Der Besuch durch ungebetene Gäste ist dann letztlich nur eine Frage der Zeit.
Bei Firewall-Systemen gibt es die grundsätzliche Unterscheidung zwischen „Personal Firewalls“ für einzelne Rechner und „Hardware Firewalls“ für ganze Netzwerke und externen Datenverkehr. Ihnen gemein ist: Sie beurteilen anhand bestimmter Regeln, ob ein Datenpaket als vertrauenswürdig gilt oder nicht. Bei modernen Firewall-Systemen können Sie diese Regeln dynamisch anpassen bzw. die Firewall lernt fortlaufend dazu, um bessere Entscheidungen zu treffen.
Dementsprechend sind Firewalls wesentlicher Bestandteil eines jeden IT-Sicherheitskonzepts. Sie sollten sie jedoch nicht allein einsetzen; um Systeme zu schützen. Stattdessen ist immer eine ganzheitliche IT-Sicherheitsstrategie notwendig.
Wie funktioniert eine Firewall aus technischer Sicht?
Um zu verstehen, wie eine Firewall funktioniert, ist es zunächst wichtig, die Funktionsweise der Datenübertragung im Internet zu kennen. Sämtlicher Datenverkehr wird im Grunde stets in Form sogenannter Pakete abgewickelt. Hierbei handelt es sich um Informationseinheiten fester Größe, die je nach verwendetem Übertragungsstandard (Protokoll) unterschiedlich festgelegt ist. Ein solches Paket besteht in aller Regel sowohl aus den eigentlichen Daten, als auch aus Informationen zu Absender und Empfänger. Des Weiteren erfolgt die Kommunikation je nach Übertragungsprotokoll über sogenannte Ports – bei Webseiten meistens Port 80 (unverschlüsselt) oder Port 443 (verschlüsselt).
Ist nun einen Rechner ohne jeglichen Firewall-Schutz an das öffentliche Internet angeschlossen, ist dessen Netzwerkkarte im Grunde sämtlichem Internet-Datenverkehr ausgesetzt. Diese prüft lediglich anhand der weltweit eindeutigen IP-Adresse des Zielrechners, ob Pakete für diesen Rechner dabei sind oder nicht. Ist dies der Fall, werden die Pakete geöffnet und der Inhalt auf dem Bildschirm des Anwenders angezeigt, beispielsweise eine Webseite. Es liegt auf der Hand, dass so relativ problemlos auch Schadcode auf den Rechner gelangen kann.
In der Praxis ist für die Verbindung eines einzelnen Rechners mit dem Internet ein Router erforderlich, der meist bereits über einen eingebauten, mehr oder weniger rudimentären Firewall-Schutz verfügt. Auch Windows verfügt über eine eingebaute Software-Firewall, die dubiose Datenpakete herausfiltert.
Das ist insbesondere, aber nicht nur dann der Fall, wenn die Kommunikation mit dem Zielrechner auf einem anderen geöffneten Port erfolgt. Hierin liegt auch der wesentliche, mehr oder weniger passive Schutz einer Firewall: Sie schließt im Grunde sämtliche Ports für den externen (und häufig auch internen) Datenverkehr, die nicht benötigt werden. Will nun eine bestimmte Software auf einen solchen Port zugreifen, muss dieser explizit und nur für dieses Programm in der Firewall freigegeben werden.
Im Idealfall sind auf einem Rechner also immer nur diejenigen Ports geöffnet, die für die Netzwerkkommunikation zwingend erforderlich sind. Eingehende Datenpakete an andere Ports werden nicht angenommen und somit verworfen. Ähnliches gilt für den ausgehenden Datenverkehr. So werden Cyberangriffe zwar nicht grundsätzlich verhindert, aber zumindest deutlich erschwert.
Diese Arten von Firewalls gibt es
Wie bereits erwähnt, werden Firewalls zunächst einmal nach dem Ort ihrer Verwendung unterschieden. „Personal Firewalls“ kommen auf einem bestimmten Rechner zum Einsatz. Dabei kann es sich auch um ein Smartphone oder Tablet handeln. „Hardware Firewalls“ hingegen laufen eingebettet in technische Systeme wie beispielsweise Router oder auch als Server-Komponenten.
Ein weiteres Unterscheidungskriterium ist die Funktionsweise. Während klassische Firewalls vor allem nicht benötigte Ports (siehe Infokasten) schließen, gehen moderne Firewalls (auch in Mischformen) deutlich weiter. Die wichtigsten Firewall-Arten nach ihrer Funktionsweise sind derzeit:
- Port-Firewall: klassischer Ansatz
- Proxy-Firewall: Analyse von Paketinhalten
- Stateful-Firewall: kontextbezogene Datenanalyse
- Next-Generation-Firewall: NGFW, mit erweiterten Funktionen
- Unified Threat Management: UTM, häufig als Dienstleistung angeboten
- Web-Application-Firewall: WAF, zum Schutz von Web-Angeboten
Was hinter diesen einzelnen Firewall-Arten steckt und wie diese funktionieren, erfahren Sie in den nachfolgenden Abschnitten.
Proxy-Firewall
Eine Proxy-Firewall, die auch als Gateway-Firewall bezeichnet wird, analysiert bei eingehenden Datenpaketen nicht nur den adressierten Port, sondern auch den Paketinhalt. Um das zu erreichen, kommen sogenannte Application-Gateways oder Application-Gateway-Firewalls zum Einsatz. Sie liegen in der Regel auf separaten Servern, da die Anforderungen an die Hardware-Performance für diese zusätzliche Prüfung nicht unerheblich sind. Durch dieses zusätzliche Konstrukt ist die Proxy-Firewall in der Lage, auch auf Anwendungsebene schädlichen von nicht schädlichem Traffic zu unterscheiden – sofern sie korrekt konfiguriert.
Der Begriff Proxy („Stellvertreter”) wiederum resultiert daher, dass die Proxy-Firewall insgesamt als „dazwischen geschaltete Ebene” fungiert. Sie fängt eingehende Anfragen ab, prüft diese im Application-Level-Gateway und leitet sie weiter oder blockiert sie. Da die Proxy-Firewall im Gegensatz zur klassischen Firewall als eigenständiger auftritt, „kennt” sie sozusagen auch die Anwendungsebene und die dort verwendeten Protokollsysteme. Sie handelt somit nicht stur nach festgelegten Regeln für jeden Port, sondern bezieht auch die kommunizierende Anwendung mit ein. Außerdem ist sie in der Lage, Anomalien bei der Verwendung der gängigen Übertragungsprotokolle wie https, smtp oder DNS zu erkennen.
Im bekannten ISO-/OSI-Schichtenmodell setzt die Proxy-Firewall somit arbeitet somit zwar gegebenenfalls langsamer, aber auch deutlich zielgerichteter und zuverlässiger als eine klassische Port-Firewall, die sich auf die Ebenen Drei und Vier beschränkt.
Zu den Vorteilen der Proxy-Firewall gehören:
- erhöhte Sicherheit
- detailliertere Analysemöglichkeiten
- eine weitreichende Abschottung der zu schützenden Netzwerkarchitektur vom öffentlichen Internet
Außerdem verfügen Proxy-Firewalls meist über umfangreiche Logging-Funktionen. Anhand dieser lassen sich Angriffe gut auswerten und schnell identifizieren.
Wesentliche Nachteile der Proxy-Firewall hingegen liegen darin, dass die Firewall nicht immer jede Anwendung und deren Protokolle optimal „versteht“. Hinzu kommt, dass für jede zu schützende Anwendung eine eigene Proxy-Instanz notwendig ist. Das kann zu erheblichem Wartungsaufwand und hohen Anforderungen an die benötigte Rechenleistung führen. Auch der Einsatz von VPN-Verbindungen über proxybasierte Firewalls ist häufig nicht oder nur über Umwege möglich. Fällt die Proxy-Firewall einmal aus, liegt außerdem zumeist die gesamte Kommunikation brach.
Stateful-Firewall
Das Prinzip der zustandsorientierten („stateful”) Firewall basiert auf der Idee, dass in vertrauenswürdigen Umgebungen keine fortlaufende, detaillierte Prüfung der ein- und ausgehenden Datenpakete durchgeführt werden muss. Voraussetzung hierfür ist jedoch, dass die Kommunikation mit der „Gegenstelle” als vertrauenswürdig eingestuft wurde. Das spart in der Praxis Ressourcen und beschleunigt die Kommunikation zwischen Endpunkten. Können ein- oder ausgehende Datenpakete hingegen keiner gültigen Anwendung zugeordnet werden oder entsprechen sie schlicht nicht den Kriterien für eine sichere Verbindung, werden sie wie bei anderen Firewall-Arten auch
Die zugrundeliegende Paketfiltertechnik ist als „Stateful Packet Inspection (SPI)“ bekannt. Die Analyse der Datenpaket-Segmente erfolgt im ISO-/OSI-Schichtenmodell auf Ebene Drei. Die entsprechenden Zustände werden firewallseitig in Tabellen gespeichert und für eine gewisse Zeit aufrechterhalten. Findet länger keine Kommunikation zwischen den Endpunkten statt, wird die Verbindung (Session) geschlossen und muss erst neu hergestellt werden. Alternativ bleibt sie mit Hilfe sogenannter
Was in der Praxis einfach und logisch klingt, erfordert softwareseitig durchaus Aufwand. Denn immerhin müssen Firewalls je nach verwendetem Übertragungsprotokoll verschiedene mögliche Zustände in der Datenkommunikation berücksichtigen. Ein Beispiel für eine clientseitige Stateful-Firewall ist die Firewall-Komponente des Windows Defenders.
Zu den Vorteilen der Stateful-Firewall gehören:
- gute Performance im Alltag
- eine intelligente und präzise Arbeitsweise bei der Paketfilterung
- Vorteile bei der Abwehr bekannter Schadensquellen
Ein Nachteil ist eine mögliche falsch-positive Identifikation von Datenverkehr, also das fälschliche Einstufen einer Kommunikation als vertrauenswürdig. Ist dies der Fall, werden die nachfolgenden Datenpakete von der Stateful-Firewall einfach durchgeleitet. Das macht die sie vergleichsweis anfällig für DDoS-Angriffe, da jedes eingehende, nicht vertrauenswürdige Paket zunächst ausführlich geprüft wird. Eine stets aktuelle und korrekte Konfiguration der Stateful-Firewall ist also grundlegend dafür, dass sie optimal arbeiten kann. Das macht sie vergleichsweise teuer im Betrieb, wenn es um die Absicherung von Rechnerverbünden geht. Abhilfe können hier jedoch ein Application-Layer-Gateway auf separater Hardware oder eine cloudbasierte Firewall .
NGFW: Firewall der nächsten Generation
Wie der Name bereits andeutet, ist eine „Next Generation Firewall (NGFW)“ eine wesentliche Weiterentwicklung klassischer Firewall-Typen. Ihre Funktionsweise geht deutlich über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus. Ebenso wie Proxy- und Stateful-Firewalls analysiert ein NGFW ein- und ausgehende Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch und werden fortlaufend angepasst.
Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln ist die Tatsache, dass ein Großteil des Internet-Datenverkehrs inzwischen über den https-Port 443 für sichere Webseiten abgewickelt wird – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen. Gibt man nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen frei, lässt man bei fehlenden, weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch, was unbedingt zu verhindern ist.
Trotzdem überprüft natürlich auch eine Next Generation Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig prüft das NGFW-System aber auch das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht.
Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und Ähnliches ab.
Gängige (weitere) Funktionen von NGFW sind:
- Deep Packet Inspection (DPI): Dieser Mechanismus prüft nicht nur Datenpakete über dessen Header hinaus, sondern bietet auch die Möglichkeit, Bandbreiteneinschränkungen auf Anwendungsbasis zu konfigurieren.
- SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, wie es bei SSL- und TLS-Übertragungen der Fall ist. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen.
- Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen.
Der NGFW-Ansatz wird fortlaufend erweitert und derzeit vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen angepasst. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen.
Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche, aktuelle Bedrohung stellen dabei sogenannte APT-Angriffe („Advanced Persistent Threats“) dar. Bei dieser Angriffsform investieren Hacker:innen oder ganze Gruppen von ihnen erheblichen, teils erheblichen manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs.
Zu den Vorteilen der NGFW gehört vor allem, dass sie die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen vereint. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert.
Zu den Nachteilen der NGFW zählt, dass diese nicht immer einfach zu konfigurieren, zu administrieren und aktuell zu halten sind. Eine Ausnahme sind Managed Services, also solche unter „fremder“ Verwaltung. .
UTM-Firewall: Ist Unified Threat Management eine Alternative zur NGFW?
Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass eine wirksame Abwehr von Bedrohungen nur über ein ganzheitliches System gelingen kann. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und stellt eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand bereit. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen.
Ein großer Vorteil des UTM-Ansatzes ist die einfache und schnelle Implementierbarkeit. Kommerzielle Expert:innen kümmern sich sowohl um die Implementierung als auch die Aktualisierung der entsprechenden Lösung.
Nachteilig sind die meist vergleichsweise hohen Kosten. Hier sollten Sie genau darauf achten, was Sie tatsächlich benötigen und was nicht.
In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen einander immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen.
Web Application Firewall (WAF): So sichern Sie Ihre Web-Anwendungen sinnvoll ab
Wie bereits erwähnt, findet ein Großteil des derzeitigen Internet-Datenverkehrs auf Basis von Web-Anwendungen statt. Dazu zählen neben E-Mail-Clients auch und vor allem Shop-Systeme, Self-Service-Administration-Toolkits oder Web-Oberflächen bekannter Messenger-Dienste wie Teams, Slack und Co.
Kaum verwunderlich also, dass Hacker:innen inzwischen auch Web-Anwendungen ins Visier nehmen. Zu den typischen Bedrohungen, gegen die eine Web Application Firewall (WAF) Schutz bieten soll, zählen beispielsweise Injection-Angriffe (LDAP, SQL), Cross-Site-Scripting (XSS), Parameter-Veränderungen, Cookie-Manipulationen und Pufferüberlaufangriffe. Bei einer WAF handelt es sich um eine Firewall auf Anwendungsebene, die insbesondere bei Betreiber:innen großer Webseiten zu den kaum verzichtbaren Lösungen zählt.
Die Funktionsweise ähnelt dem üblichen Firewall-Prinzip: Eine WAF untersucht im Hintergrund fortlaufend sämtliche Anfragen an und Antworten des Web-Servers, den sie schützen soll. Verdächtige Inhalte oder Anfragen wehrt die WAF im Idealfall umgehend ab. Um jedoch zuverlässig arbeiten zu können, muss die webbasierte Firewall zunächst eine „Lernphase“ durchlaufen.
Dabei wird mithilfe eines Anwendungs-Sicherheitsscanners (Application Security Scanner) analysiert, welche Aktionen als typisch gelten können und welche nicht. Im laufenden Betrieb wiederum analysieren interne oder externe Administrator:innen fortlaufend die Logdateien des Systems, um verdächtige Aktivitäten und Schwachstellen in der eigenen Konfiguration zu erkennen und zeitnah zu reagieren.
Zu den Vorteilen der Web Application Firewall zählt, dass sie einen zusätzlichen Schutz vor gängigen Bedrohungen im Web bietet. Dieser Schutz gilt auch für Systeme, die selbst keine Updates mehr erfahren, aber im Hintergrund einer Webseite weiterhin aktiv sind.
Zu den Nachteilengehört, dass WAFs in Unternehmen mitunter für eine trügerische Sicherheit sorgen. Außerdem führen Unterschiede in der Bearbeitung von eingehenden Anfragen zu möglichen neuen Sicherheitsrisiken, die Hacker:innen ausnutzen könnten. Nicht zuletzt muss auch eine WAF fortlaufend aktuell gehalten werden, was in der Praxis Aufwand und Kosten verursacht – oder eben Sicherheitslücken eröffnet.
Das Wichtigste zum Thema Firewalls in Kürze
Eine Firewall sichert Ihr internes Firmennetzwerk gegen Angriffe von außen ab und ist demnach ein wesentlicher Bestandteil jedes IT-Sicherheitskonzepts.Anbieter sowie Standardisierungsgremien haben Firewalls über die Jahre fortlaufend technologisch weiterentwickelt und an die veränderte Bedrohungslage im Internet angepasst. Dabei unterscheiden sich Firewall-Systeme hinsichtlich ihrer Entwicklungsstufen, Einsatzgebiete sowie ihres Leistungsumfangs:
- Eine reine Port-Firewall sichert ein- und ausgehende Verbindungen auf rudimentäre Art, indem sie bestimmte Ports auf einem Rechner oder innerhalb eines Rechnerverbunds je nach dessen Aufgabe(n) blockiert oder freischaltet.
- Eine Proxy- oder Gateway-Firewall fungiert als zwischengeschaltetes Stellvertreter-System und ist in der Lage, Datenpakete auch auf Anwendungsebene zu untersuchen.
- Eine Stateful-Firewall sichert die ein- und ausgehende Kommunikation zusätzlich auf der Basis von geprüften Sitzungen und vertrauenswürdigem Datenverkehr ab.
- Die Next-Generation-Firewall (NGFW) ist in der Lage, noch mehr Aspekte des Datenverkehrs zu überwachen, wie beispielsweise das typische Nutzungsverhalten. Sie kann gegebenenfalls sogar verschlüsselte Kommunikation auslesen.
- Mithilfe von Unified Threat Management (UTM) sichern sich Unternehmen mit einer ganzheitlichen, verwalteten Sicherheitslösung gegen Bedrohungen von außen ab. NGFW und UTM sind dabei eng verwandt.
- Eine Web Application Firewall wiederum kennt typische Nutzungs- und Bedrohungsszenarien in webbasierten Systemen und schützt somit Webanwendungen gezielt vor Bedrohungen.
Quelle:
https://www.vodafone.de/business/featured/technologie/firewalls-einfach-erklaert-definition-arten-und-einsatzzwecke-im-ueberblick/