Grundlagen Firewall

Fachbegriffe, Produkte und Irrtürmer

20.10.2010 von Benjamin Schischka
Eine Firewall kann nicht umfassend schützen. ChannelPartner stellt Resellern Basiswissen bereit.

Die Installation einer Firewall ist mittlerweile unabdingbar, um die eigene Sicherheit zu erhöhen. Ein undurchdringlicher Schutzschild, der sich gegen jegwede Bedrohung aus dem Internet zur Wehr setzt, bildet es dennoch nicht. Grundlegendes Wissen ist gefragt, um sich und die Kundschaft möglichst zuverlässig abzusichern.

ChannelPartner erleichtert den Einstieg und erklärt die gängisten Fachbegriffe. Zudem werden im Folgenden die bekanntesten Lösungen vorgestellt und drei beliebte Behauptungen zu Firewalls entkräftet.

Beliebte Irrtümer

Eine Firewall kann nicht vor sämtlichen Risiken schützen, die aus dem Internet drohen. Dennoch wird diese Auffassung nur allzu oft vertreten. ChannelPartner entkräftet drei der hierbei beliebtesten Behauptungen.

Irrtum 1: „Mit einer Firewall bin ich sicher“

Wer glaubt, mit einer Firewall alleine genug für die Sicherheit getan zu haben, irrt sich. Die Firewall filtert den Netzwerkverkehr. DVD- und USB-Laufwerke bleiben nicht zu unterschätzende Einfallstore, wie der Wurm Conficker beweist. Die Firewall ist außerdem machtlos gegen Vireninfektionen – verwenden Sie unbedingt auch Anti-Viren-Software. Runden Sie bestmöglichen Schutz mit regelmäßigen Updates aller Programme und kritischem Anwenderverhalten – also Brain 1.0 – ab.

Irrtum 2: „Dank Stealth-Modus bin ich unsichtbar“

Der Stealth-Modus, den manche Firewall integriert hat, suggeriert Unsichtbarkeit und damit völligen Schutz vor Angreifern. Die Realität: Der Stealth-Modus schweigt zwar bei Ping-Anfragen, erhält der Hacker aber nicht die Antwort „Destination unreachable“ („Nicht erreichbar“), braucht er nur eins und eins zusammenzuzählen und weiß, dass dort ein Rechner existiert. Der Stealth-Modus der Firewall bremst den Angriff also höchstens aus.

Irrtum 3: „Indem ich Ports schließe, erhöhe ich die Sicherheit“

Grundsätzlich bedeuten weniger offene Ports weniger Angriffsfläche. Es gibt aber eine Methode, mit der Hacker geschlossene Ports umgehen: Beim sogenannten „Tunneln“ schicken Angreifer über einen offenen Port dienstfremde Daten. Um den Netzwerkdienst auszutricksen, haben sie die Daten vorher in dessen Format konvertiert. Beispiel: Über einen HTTP-Tunnel (Port 80) werden FTP-Daten ausgetauscht, obwohl der FTP-Port (21) geschlossen ist. Die FTP-Daten wurden dafür in ein HTTP-Protokoll eingebettet.

Besonders beliebt sind HTTPS-Tunnel, da die Verschlüsselung von HTTPS der Firewall keine Daten-Einsicht erlaubt. Nachteil für Hacker ist der relativ große Aufwand, da sowohl der Opfer-Rechner als auch der Serverdienst entsprechend gleich konfiguriert sein müssen.

Gängige Firewall-Lösungen

Welche Art von Firewall soll zum Einsatz kommen? Welche Möglichkeiten bestehen überhaupt? ChannelPartner stellt im Folgenden fünf Produkte vor, die sich hinsichtlich ihrem Umfang an Funktionen und der angedachten Umgebung, in der sie zum Einsatz kommen sollen, mitunter deutlich voneinander unterscheiden.

Check Point Software Blade Architecture

Neben vielen weiteren Security-Produkten bietet Check Point die so genannte Software Blade Architecture an. Das Programm ist modular aufgebaut: Als obligatorische Basis dient eine Firewall, die bereits einen Großteil des Datenverkehrs im Netzwerk respektive ins Internet überwacht. Wer sich zusätzlich absichern möchte, kann einzelne Module, Blades genannt, gezielt erwerben und hinzuschalten. So lassen sich beispielsweise ein Antivirus-Programm integrieren, das E-Mail-Postfach automatisch überwachen oder auch komfortabel die Gateways gemäß den individuellen Anforderungen konfigurieren.

Symantec Protection Suite

Von Security-Spezialist Symantec stammt die Protection Suite. Der Hersteller bietet hierbei mehrere Editionen, die sich am Bedarf des Kunden und an der Größe des Netzwerks orientieren. Aber unabhängig, für welches Paket man sich entscheidet: Eine Firewall gehört in jedem Fall zur Ausstattung. Ebenso gehört die E-Mail-Überwachung und ein Wiederherstellungs-Programm zum Standard-Repertoire. Die Besonderheit der Enterprise Edition liegt darin, dass sie sich zentral verwalten lässt - so lassen sich alle Computer im Netzwerk auf dem selben, aktuellen Stand halten.

Cisco PIX Security Appliance Serie

Auch Hersteller Cisco bietet ein großes Sortiment an Produkten an, um die Datenströme zu kontrollieren. Speziell die Geräte der PIX-Serie sind hierbei interessant, da sie darauf spezialisiert sind, die Aufgaben einer modernen Firewall zu übernehmen. Die Hardware fängt demnach unerwünschte Sendungen ab, ehe sie den gewünschten Empfänger erreichen. Einzig die Konfiguration der Firewall erfolgt über eine mitgelieferte Software.

Avira Premium Security Suite

Der rote Regenschirm von Avira bietet zwar auch die Möglichkeit zum Schutz vor Unwetter, aber die Schädlingsbekämpfung steht dennoch im Vordergrund: Vor allen private Anwender vertrauen dem kostenlosen, eingeschränkt nutzbaren Virenscanner des Herstellers. Den vollen Umfang an Funktionen verspricht dagegen die Premium Security Suite. Zudem liegt der Sammlung auch eine Firewall bei, mit der sich Datenströme abfangen lassen. Das Angebot richtet sich auch dank des günstigen Preises vorrangig an Heimanwender.

McAfee Total Protection (SaaS)

Bisher wurden lediglich Produkte vorgestellt, die sich an Einzelanwender oder intern betreute Netzwerke richten. Von McAfee kann allerdings auch Schutz durch die Wolke bezogen werden: Mit Total Protection bietet der Hersteller Software-as-a-Service an. Folglich übernimmt das Unternehmen die Aktualisierung, Konfiguration und Wartung des eigenen Produkt. Sämtliche Arbeiten können dabei über das Internet vorgenommen werden, ein Mitarbeiter von McAfee vor Ort ist nicht notwendig. Für den Service fallen monatliche Kosten an, flexible Zu- und Abbestellungen sind zudem technisch problemlos und schnell durchführbar.

Die hier vorgestellten Produkte wurden exemplarisch ausgesucht, um die verschiedenen Methoden, wie eine Firewall zum Einsatz kommen kann, zu illustrieren. Weitere gängige Produkte haben wir für Sie in folgender Bilderstrecke gesammelt:

Wichtige Fachbegriffe

Ganz ohne Fachvokabular geht es nicht. Einige der wichtigsten Begriffe haben wir für Sie hier gesammelt:

Firewall

Eine Firewall (zu deutsch „Brandwand“) ist mit einem Grenzübergang vergleichbar. Sie überwacht den Datenverkehr im Netzwerk und lässt aufgrund bestimmter Regeln vermeintlich gefährliche Datenpakete nicht passieren. Man unterscheidet zwischen Hardware-Firewall, die vor den Rechner geschaltet, und der Personal- oder Desktop-Variante, die darauf installiert wird.

Zwei-Wege-Firewall

Als Zwei-Wege-Firewall bezeichnet man Firewalls, die nicht nur eingehende Daten, sondern auch ausgehende Daten kontrollieren. Eine Zwei-Wege-Brandmauer bringt auch Spyware zum schweigen, die sich bereits eingenistet hat und ungewünscht Daten nach draußen schicken will.

Intrusion Detection System (IDS)

IDS (zu deutsch: „Einbruchmelde-Anlage“) ist die Alarmanlage der Brandmauer: Versucht Schadsoftware ihren Filter auszutricksen, schlägt das IDS Alarm. Voraussetzung: Das System erkennt ein Angriffsmuster. Mögliche Malware-Tricks sind das Abschalten der Firewall oder die Verwendung als sicher eingestufter Software für die eigene Verbindung.

Ports

Die Port-Adresse ist Teil der Adresse, die den Bestimmungsort verschickter Datenpakete kennzeichnet. Sie ordnet Daten einem Netzwerkprotokoll zu, beispielsweise hat HTTP den Port 80 und POP3 für E-Mail-Server die 110. Im Idealfall sind nur die Ports geöffnet, die wirklich benötigt werden, um die Angriffsfläche auf das System möglichst klein zu halten – auch eine Aufgabe der Firewall. Angreifer suchen mit Portscannern nach geöffneten Ports.

Client-Rechte und Server-Rechte

Programme, die nur angeforderte Datenpakete empfangen, benötigen lediglich Client-Rechte. Beispiel: Der Browser, der eine Webseite anfordert. Tools, die auch unangeforderte Daten empfangen wollen, brauchen Server-Rechte. Diese Tools öffnen eigenständig Ports und sind damit potentiell gefährlicher als Client-Software. Beispiel: Ein FTP-Server. (pcw / rw / so)