Foto: Fotolia, Misha
Es ist nicht einmal eine Dekade her, da lieferte Microsoft sein Betriebssystem Windows XP noch mit einer ausgeschalteten Firewall aus. Innerhalb weniger Wochen wurde die IT-Landschaft von so vielen Attacken heimgesucht, dass Microsoft rund ein halbes Jahr alle Weiterentwicklungen zu Gunsten einer sichereren Programmierung stoppte. Apple, stets den Consumer-Markt im Fokus, lieferte OS X 10.7 Lion mit ausgeschalteter Firewall aus. Sofern der Computer ohne Kontakt zu einem Netzwerk ist, mag dies alles kein Problem darstellen - aber auf welche Maschine trifft dies aktuell noch zu?
Wie kann eine Firewall schützen?
Sicherheitslücken in Applikationen und Betriebssystemen gehören zu den größten Problemen in der IT-Branche. Solche Lücken zu entdecken und sie dann möglichst schnell zu schließen, ist unerlässlich. Bis ein Problem "gefixt" ist, hängt die Sicherheit des Computers oder des gesamten Netzwerks oft an einer einzigen Komponente: der Firewall. Per Definition schützt die Firewall, indem sie selektiv auf den Netzwerkverkehr Einfluss nimmt und nur bestimmte Verbindungen zulässt. Es wird typischerweise zwischen eingehendem und ausgehendem Verkehr differenziert, da es ein Unterschied ist, ob der PC eine Verbindung explizit anfordert oder auf eine unerwünschte Anforderung reagiert.
- Schutz ab Werk
Die eingebaute Firewall für Microsoft Windows: Sie bietet die Definition von Regeln für den eingehenden und ausgehenden Netzwerkverkehr und unterstützt die Konfiguration mittels Assistenten. - Fixe Regeln
Vordefiniert und nicht zu ändern: Auf den Windows-Systemen können einige Regeln, beispielsweise für die Synchronisation über Microsoft Zune, vom Benutzer nicht angepasst werden. - Netsh im Einsatz
Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff). - Für den Profi
Zusätzliche Firewall-Lösungen, beispielsweise die Unix-IPFW, können sogar unter Microsoft Windows eingesetzt werden. - Know-how gefragt
Wichtige Voraussetzung: Bevor Anwender über eine Port-Weiterleitung Verbindungen aus dem Internet in das eigene Netzwerk zulassen, sollten sie in jedem Fall wissen, was sie da tun. - Nexpose Express
Angriff durch Software: Ungeschützte Systeme ohne Firewall sind möglicherweise ein leichtes Opfer für Vulnerability Scanner wie die hier gezeigte Lösung „Nexpose Express“. - Wer darf was?
Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall. - Next Generation
Erleichtert die Konfiguration: Glücklicherweise sind viele Firewalls der "Next Generation", hier eine Barracuda NG, bereits so vorkonfiguriert, dass sich Applikationen gezielt aussperren lassen. - Integrierter Virenscanner
Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung. - Mitschneiden tut Not
Ist leider unumgänglich: der regelmäßige Blick in das Logging-Fenster der Firewall-Lösung. Nur so kann der IT-Profi den üblichen Netzwerkverkehr identifizieren. - Es geht auch gratis
Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an. - Schutz ab Werk
Die eingebaute Firewall für Microsoft Windows: Sie bietet die Definition von Regeln für den eingehenden und ausgehenden Netzwerkverkehr und unterstützt die Konfiguration mittels Assistenten. - Fixe Regeln
Vordefiniert und nicht zu ändern: Auf den Windows-Systemen können einige Regeln, beispielsweise für die Synchronisation über Microsoft Zune, vom Benutzer nicht angepasst werden. - Netsh im Einsatz
Auch ohne Active Directory sind IT-Profis in der Lage, Firewall-Regeln für Microsoft Windows über Skript-Jobs anzupassen. Bedingt durch die unterschiedliche Syntax von XP und Windows Vista/7 sind Verzweigungen leider unumgänglich (hier für den WMI-Zugriff). - Für den Profi
Zusätzliche Firewall-Lösungen, beispielsweise die Unix-IPFW, können sogar unter Microsoft Windows eingesetzt werden. - Know-how gefragt
Wichtige Voraussetzung: Bevor Anwender über eine Port-Weiterleitung Verbindungen aus dem Internet in das eigene Netzwerk zulassen, sollten sie in jedem Fall wissen, was sie da tun. - Nexpose Express
Angriff durch Software: Ungeschützte Systeme ohne Firewall sind möglicherweise ein leichtes Opfer für Vulnerability Scanner wie die hier gezeigte Lösung „Nexpose Express“. - Wer darf was?
Die Definition von Firewall-Regeln, hier auf einer CR15wi von Cyberoam, erfordern ein grundsätzliches Verständnis für Funktionsweise einer Firewall. - Next Generation
Erleichtert die Konfiguration: Glücklicherweise sind viele Firewalls der "Next Generation", hier eine Barracuda NG, bereits so vorkonfiguriert, dass sich Applikationen gezielt aussperren lassen. - Integrierter Virenscanner
Es werden nicht nur Ports gesperrt: Ein Virus-Scanner gehört heute bei vielen Firewalls bereits zur Grundausstattung. - Mitschneiden tut Not
Ist leider unumgänglich: der regelmäßige Blick in das Logging-Fenster der Firewall-Lösung. Nur so kann der IT-Profi den üblichen Netzwerkverkehr identifizieren. - Es geht auch gratis
Es muss nicht immer die teure Lösung sein: Die Basis-Variante einer Packet-Firewall bietet zum Beispiel Astaro (Sophos) sogar kostenfrei an.
Wie unterscheiden sich Firewalls?
Grundsätzlich dürfen zwei verschiedene Arten vor Firewall-Systemen unterschieden werden: Der eigene Computer wird entweder über eine im Betriebssystem verankerte oder über eine als Zusatzsoftware installierte, "Personal-Firewall" geschützt. Ganze Netzwerke oder Segmente des Netzwerks schützen IT-Professionals dann durch herkömmliche Firewalls. Hier handelt es sich in der Regel um Appliances, also um eine Kombination von Hard- und Software. Im Gegensatz zu den einstigen Firewall-Lösungen, die lediglich Ports öffnen und sperren konnten, sind moderne "Next Generation Firewall"-Programme zu weitaus mehr in der Lage: Sie können zum Beispiel die Datenpakete einzelner Applikationen gezielt sperren oder für unterschiedliche Benutzer verschiedene Regelwerke vorhalten. Firewalls dieser neueren Art "verstehen" somit, was genau in den Datenpaketen für Informationen enthalten sind. Auch das Thema "Anti-Malware" wird durch die NGFWs (Next Generation Firewalls) bereits sicher abgedeckt. Bei genauer Betrachtung handelt es sich bei diesen Lösungen um "Application Layer Firewalls", wie sie im englischsprachigen Wikipedia beschrieben werden.