Lässt sich die Windows-Firewall zentral steuern?
Foto: Thomas Bär / Frank-Michael Schlede
Die Windows-Firewall wird grundsätzlich über die Registry gesteuert und kann in den aktuellen Betriebssystemversionen sehr gut über die Systemsteuerung konfiguriert werden. Hier finden sich unter dem Eintrag "Windows-Firewall mit erweiterter Sicherheit" sehr umfangreiche Möglichkeiten, die Software zu konfigurieren. Die notwendigen Regeln verteilen Administratoren über Gruppenrichtlinien in einer Active Directory Domäne. In Arbeitsgruppen können über Batch- oder Skript-Jobs ähnliche Kommandos eingesetzt werden. Dazu kommt häufig auch die Konfiguration mit Hilfe des sehr mächtigen Netsh-Kommandos zum Einsatz.
Wozu dient die DMZ?
Die "Demilitarized Zone" (DMZ) ist ein zusätzlicher Netzwerkbereich vor dem eigentlichen Unternehmensnetzwerk. Es dient zur Bereitstellung von Diensten, die einen direkten Zugang - beispielsweise - das Internet, benötigen und auf die auch direkt aus dem Internet zugegriffen werden kann. Eine genaue Beschreibung finden Sie auf der Wikipedia-Seite zu DMZ.
Was hat es mit den Ports auf sich und warum gilt die Aufmerksamkeit häufig dem Port 80?
Bis vor einigen Jahren war es ausreichend, komplette Ports für den Internet-Zugriff zu sperren. Allerdings nutzen viele Dienste heutzutage Standards wie den Port 80, um weiterführende Techniken einzusetzen. Jede IP-Adresse bietet 65.535 Port-Adressen, über die sie mit anderen IP-Adressen gleichzeitig in Verbindung tritt. Es gibt eine große Anzahl so genannter "Well known Ports", die von ganz bestimmten Anwendungen verwendet werden und meist zwischen 0 bis 1023 liegen. Zugeteilt werden den Anwendungen diese Ports von der "Internet Assigned Numbers Authority" (IANA). Hierzu gehören auch die sehr bekannten Ports 80 (Standard HTTP), 443 (gesicherte HTTPS-Verbindungen) oder der für den E-Mail-Versand genutzte Port 25.
Foto: Thomas Bär / Frank-Michael Schlede
Während die Port-Nummern zwischen 1024 und 49.151 von Firmen als "Registered Ports" genutzt werden können, kann jede Software im Bereich von 49.152 bis 65.535 Verbindungen als "dynamische Datenkanäle" öffnen. Die Video-Konferenz-Software Skype beispielsweise ist gar nicht so leicht durch eine Firewall auszubremsen, da die Software die Technik des "Port-Hoppings" perfekt beherrscht. Das Problem ist somit nicht der Netzwerk-Port oder das Protokoll - oft genug ist die Anwendung oder der Dienst, der auf der Maschine aktiv ist und auf den verschiedenen Ports lauscht, das wirklich Risiko, das es einzugrenzen gilt.
Was fließt aktuell überhaupt durch das Netz?
Im vergangenen Jahr hat der Sicherheitssoftwareanbieter Palo Alto Networks einen "Application Usage and Risk Report" (AUR-Report) vorgestellt. Aus diesem Report, der den Applikations-Netzwerkverkehr von mehr als 1600 Unternehmen im Zeitraum von April bis November 2011untersucht, geht hervor, dass sich die Anforderungen an eine moderne Firewall deutlich von den bisherigen Ansprüchen an diese Technik unterscheiden. Der Netzwerkverkehr hat sich in der jüngsten Vergangenheit stark verändert - Mitarbeiter nutzen weltweit sozial Netzwerke wie Twitter, Xing oder Facebook. Aber auch Lösungen wie Skype, Dropbox oder Rapidshare erfreuen sich zunehmender Beliebtheit. Unternehmen müssen entscheiden, wie sie diese Technologien sicher auf ihren Netzwerken zur Verfügung stellen und dabei die Produktivität, die viele dieser Applikationen ermöglichen, erhalten können. Sie müssen dabei gleichzeitig ihre Unternehmensnetzwerke und die Nutzer vor allen Bedrohungen schützen.