Sicherheitslücken in Anwendungen und Betriebssystemen stellen die größten Gefahrenquellen in der IT-Branche dar. Es ist somit unumgänglich diese Durchlässe schnell zu finden und innerhalb kurzer Zeit zu schließen. Bis die Lücke geschlossen ist, bietet die Firewall den einzigen Schutz. Nach der Definition erlaubt eine Firewall nur bestimmte Verbindungen und wirkt sich so auf den Netzwerkverkehr aus. Es wird zwischen ausgehenden und eingehenden Verbindungen unterschieden. Grund: Ein PC reagiert anders auf explizit angeforderte Verbindungen als auf unerwünschte.
Arten von Firewalls
Es gibt zwei Arten von Firewalls. Bei der ersten ist der Schutzmechanismus entweder ins Betriebssystem integriert oder per Zusatzsoftware auf dem PC-System installiert. Hier wird dann wird von einer Personal Firewall gesprochen. Bei der anderen Lösung handelt es sich um Appliances, einer Kombination von Hard- und Software. Der Unterschied liegt darin, dass diese Art von Firewalls ganze Netzwerke oder einzelne Segmente schützen. Lösungen der „Next Generation Firewall (NGFW)“ können im Gegensatz zu ihren Vorgängern die Datenpakete einzelner Anwendungen gezielt reglementieren, da sie den Inhalt der Datenpakete analysieren können. Daneben können IT-Verantwortliche die NGFWs für unterschiedliche Benutzer mit entsprechendem Regelwerk konfigurieren. Ferner decken diese Lösungen das Thema „Anti-Malware“ sicher ab und es handelt sich um „Application Layer Firewalls“.
Sind Personal Firewalls sinnvoll?
Professionelle Firewall-Lösungen basieren auf extra angepassten Betriebssystemen, die in ihrer Funktion zugunsten eines sichereren Systems bewusst beschränkt wurden. In solchen Fällen wird oft von einem „gehärtetem Betriebssystem“ gesprochen. Im Gegensatz hierzu setzten Personal Firewalls auf „Standard“-Betriebssystemen wie Windows, OS X und Linux. Sie sind zudem größeren Risiken ausgesetzt. Diese OS sind häufiger Ziele von Angreifer und können mehr Programmfehler als ihre Pendants aufweisen. Trotzdem sollte keineswegs auf ihren Einsatz verzichtet werden.
Soll ich die Personal Firewall aktivieren?
Ja, Sie sollten die Personal Firewall immer einschalten. Die Vorteile überwiegen.
Wann soll ich die Personal Firewall deaktivieren?
Es gibt keinen Grund die Firewall auszuschalten, außer Sie möchten eine kurze Fehlersuche durchführen.
Soll ich auf den Einsatz einer Firewall verzichten?
Nein, Sie sollten immer eine Firewall einsetzen, um Ihr Betriebssystem und Netzwerk zu schützen.
Der Einsatzzweck von Personal Firewalls
Personal Firewalls sollten zusätzlich zur primären Firewall eines Unternehmens auf Client-Systemen installiert werden, denn die primäre Sicherheitsmaßnahme schützt in der Regel die ein- und ausgehenden Verbindungen zum Internet oder anderen verbundenen Netzwerken. Im Fall, dass innerhalb eines Netzwerks ein sicherheitsrelevantes Problem auftritt, sind die Clients schutzlos den Angreifern ausgeliefert. Deswegen bietet sich dieser Einsatz an. Daneben ist eine weitere, zentrale Firewall auf Server-Systemen zum Schutz gegenüber dem Client-Netzwerk sinnvoll.
Sind Firewall-Lösungen nicht kostspielig?
Die Kosten für Firewalls differenzieren. Für PC und Mac gibt es häufig Personal Firewalls, die gratis erhältlich sind. Im Gegensatz dazu sind Hardware-basierte Systeme gewöhnlich kostenpflichtig, außer es handelt sich um Grundversionen. Sophos UTM Essential Firewall (ehemals Astaro Essential Firewall ) ist solch ein System. Es lässt sich lokal sowie als virtuelle Maschine (VM) betreiben und ist gratis.
Ein ordentliches Management, lesbare Anleitungen, zuverlässige Updates fürs System und Empfehlungen gibt es nur bei kostenpflichtigen Lösungen. Wer hierauf Wert legt, sollte zudem zu etablierten Lösungen greifen. Wer dagegen weiß, wie er einen Kernel so konfigurieren muss, dass dieser nur die gewünschten Features besitzt, kann mit der Unix Internet Protocol Firewall (IPFW) eine individuelle Lösung aufsetzen und einrichten.
Firewall-Regeln sind komplex
Um Firewall-Regeln selbst aufzusetzen, bedarf es Hintergrundwissen. Die Begriffe TCP, UDP, Ports, NetBIOS und Ping sollten ein Begriff sein, ansonsten kann es aufgrund von Verständnisproblemen zu einem großen Sicherheitsproblem kommen. Die großen Hersteller von Firewall-Systemen bieten für ihre Lösungen Seminare an um das notwendige Know-how zu vermitteln. Zudem erhöht sich bei den Teilnehmern von Kurs zu Kurs das technische Verständnis der Abläufe.
Mittels den Virtualisierungstechniken VMware, Parallels oder Oracles VirtualBox können IT-Verantwortliche sich die Firewall-Einstellungen aneignen. Hierzu bauen sie leicht virtuelle Computer auf und versuchen von „außen“ auf deren Netzwerkinterfaces zuzugreifen. Wer wissen möchte, wie Sicherheitslücken in Verbindung mit offenen Ports sich ausnutzen lassen, sei die Lösungen aus dem Hause RAPID7 empfohlen.
Es gilt die Regel: Alles zu! Ausnahme: Es handelt sich um einen eher unbedarften Anwender. Falls alle Verbindungen blockiert sind, werden Schritt für Schritt via Assistenten die Ports geöffnet, um eine benötigte Verbindung zuzulassen.
IT-Verantwortliche steuern die Windows-Firewall prinzipiell über die Registry. In den aktuellen Versionen ist die Konfiguration über die Systemsteuerung möglich. Unter dem Punkt „Windows-Firewall mit erweiterter Sicherheit“ befinden sich umfangreiche Einstellungsmöglichkeiten. Regeln dagegen legen IT-Administratoren mittels Gruppenrichtlinien in einer Active-Directory-Domäne an und via Arbeitsgruppen werden sowohl Batch- als auch Skript-Jobs verwendet. Des Weiteren können Netsh-Kommandos genutzt werden.
Der zusätzliche Netzwerkbereich DMZ
Bei der Demilitarized Zone (DMZ) handelt es sich um einen separaten Netzwerkbereich. Dieses ist dem Unternehmensnetzwerk zum Schutz vorangestellt. Die DMZ gestattet Zugriffe nach außen und blockiert unberechtigte Verbindungen in das Unternehmensnetzwerk. Im Wikipedia-Artikel DMZ finden Sie nähere Informationen.
Welche Ports gibt es und was hat es mit dem Port 80 auf sich?
Früher reichte es aus komplette Ports für den Internet-Zugriff zu sperren. Mittlerweile ist dies nicht mehr möglich, da die Dienste häufig standardmäßig den Port 80 verwenden oder „Port-Hopping“ betreiben. Jede IP-Adresse besitzt 65.535 Port-Adressen zum Kommunizieren mit anderen IP-Adressen. Für eine bessere Übersicht hat die „ Internet Assigned Numbers Authority “ die Portnummern 0 bis 1023 bestimmte Anwendungen zugeordnet. Diese Adressen sind als „Well known Ports“ bekannt. Port 80 ermöglicht die Kommunikation mittels Standard HTTP, 443 ist dagegen für gesicherte HTTPS-Verbindungen zuständig und Port 25 regelt den E-Mail-Versand. Der Bereich zwischen 1024 und 49.151 ist für Firmen als „Registered Ports“ reserviert. Der Rest, also 49.152 bis 65.535, dient als „dynamische Datenkanäle“ und lässt sich von allen Programmen öffnen. Beim Port-Hopping wechselt die Software automatisch den Port und lässt sich so nicht blockieren. Zu diesen Programmen gehört das Collaboration-Tool Skype. Aus diesem Grund geht die Gefahr weder vom Protokoll oder vom Netzwerk-Port aus, sondern vielmehr von der Anwendung.
Der aktuelle Netzwerkverkehr
Der Sicherheitssoftwareanbieter Palo Alto Networks hat im Zeitraum von April bis November 2011 den Applikations-Netzwerkverkehr von über 1600 Unternehmen analysiert und das Ergebnis im „Application Usage and Risk Report“ (AUR-Report) veröffentlicht. Aus dem Report geht hervor, dass sich der aktuelle Netzwerkverkehr erheblich von dem früheren Traffic unterscheidet. Weltweit stieg die Verwendung von Facebook , Twitter , Xing und anderen sozialen Netzwerken. Zudem sind auch Dienste wie Dropbox oder Skype sehr beliebt. Dies sorgt dafür, dass Firmen sich Gedanken machen müssen, wie sie diese Technologien sicher in ihrem Netzwerk bereitstellen können, ohne dass die Produktivität der Programme darunter leidet.
Ist es nicht am einfachsten alle Anwendungen zu sperren?
Achim Kraus, Senior Consultant Strategic Accounts bei Palo Alto Networks, verneint. “Das Risiko durch generelles Blocken des Zugriffs auf Anwendungsplattformen zu minimieren, ist in der Tat häufig die spontane Reaktion – falls überhaupt möglich. Eine sehr kurzsichtige Aktion, die oft das Gegenteil bewirkt. Die eigenen Mitarbeiter finden nämlich neue und kreative Wege, sich trotzdem Zugang zu Facebook, Skype und Co. zu verschaffen und das mit Technologien, die noch schwerer zu kontrollieren sind.” Er rät zur Verwendung einer Next Generation Firewall statt einen Kompromiss zwischen Administrierbarkeit, Leistungsfähigkeit und Sicherheit einzugehen.
Wie lassen sich Risiken für Unternehmen verringern?
“Unternehmen sollten wissen, was im Unternehmensnetzwerk passiert, um daraus entsprechende Vorgehensweisen und Richtlinien abzuleiten”, antworte Kraus auf die Frage. Auch gibt er zu bedenken, dass viele Unternehmen oft Sicherheitsstrategien mit Anti-Mailware, Firewall und Intrusion Prevention, die sie vor Jahren angeschafft haben, besitzen. Diese Lösungen sind den aktuelleren Techniken der Angreifer unterlegen. Deshalb sollten IT-Verantwortliche wissen, welche Anwendung in welcher Funktion zur Verarbeitung oder Übertragung von Inhalten verantwortlich ist, um die Risiken korrekt beurteilen und entsprechend entscheiden zu können.
Fazit
Aktuelle Sicherheitslösungen bieten adäquaten Schutz. Die neuste Technik nützt aber nichts wenn das entsprechende Know-how für den Netzwerkverkehr und die Nutzung der Firewall-Technik fehlt. Daher ist das regelmäßige Kontrollieren der Protokolle, das Updaten der Firm- und Software Pflicht.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche .