Backgrounder – Was ist eigentlich eine Firewall?

firewall-37925_1280Die Abwehrmechanismen der Unternehmen basieren heute immer noch auf Firewalls. Daher ist es kein Wunder, dass in den meisten Unternehmen die netzwerkbasierten Firewalls die Hauptarbeit bei der Abwehr einer immer größeren Anzahl von Bedrohungen übernehmen.

Aktuelle Studie beweisen, dass bis zu 80 Prozent der Großunternehmen inzwischen sogenannte Next-Generation-Firewalls betreiben. Der Marktforscher IDC schätzt, dass die Firewall und der damit verbundene Markt für Unified-Threat-Management bis zum Jahr 2020 voraussichtlich auf 12,7 Milliarden Dollar anwachsen wird.

Was ist eine Firewall?

Firewalls agieren als Perimeter-Verteidigungswerkzeug, das den Verkehr überwacht und entweder zulässt oder blockiert. Im Laufe der Jahre wurde die Funktionalität von Firewalls enorm erweitert. Die Geräte können nicht nur eine Reihe bekannter Bedrohungen blockieren und erweiterte Zugriffskontrolllistenrichtlinien durchsetzen, sondern sie können auch einzelne Verkehrsströme explizit inspizieren um festzustellen, ob diese sicher sind. Die meisten Firewalls werden heute als Netzwerkhardware bereitgestellt. Zunehmend werden jedoch reine Software-Versionen von Firewalls in virtualisierten Umgebungen eingesetzt. Diese dienen zur Umsetzung von Richtlinien in segmentierten Netzwerken oder in öffentlichen IaaS-Clouds.

Arten von Firewalls

Die Entwicklung der Firewall-Technologie hat im letzten Jahrzehnt neue Optionen für die Bereitstellung von Firewall-Funktionen geschaffen. Dem Anwender stehen heute im Wesentlichen die folgenden Firewall-Optionen für den praktischen Einsatz zur Verfügung:

  • Stateful-Firewalls: Die ersten Firewalls arbeiteten „zustandslos“. Dies bedeutet, dass die Hardware, die der Verkehr während der Inspektion durchlaufen muss, jedes Paket des Netzwerkverkehrs einzeln überwacht und entweder isoliert oder blockiert. Ab Mitte der 1990er Jahre wurden die Zustände der jeweiligen Verbindungen in die Sicherheitsfunktionen aufgenommen. Diese Variante bezeichnet man in der englischen Sprache als Stateful-Packet-Inspection (SPI) Hierunter versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.
    Die Datenpakete werden analysiert und der Verbindungsstatus wird in die Entscheidung einbezogen. Bei dieser Technik werden die Datenpakete (bzw. Datensegmente) während der Übertragung auf der Schicht 3 analysiert und in dynamischen Zustandstabellen gespeichert. Auf Basis des Zustands der Datenverbindungen werden die Entscheidungen für die Weiterleitung der Datenpakete getroffen. Datenpakete, die nicht bestimmten Kriterien zugeordnet werden können oder eventuell zu einer DOS-Attacke gehören, werden verworfen.
  • Next-Generation-Firewalls (NGFWs): Im Laufe der Zeit wurden in die Firewalls zahlreiche neue Funktionen integriert. Dazu gehören beispielsweise Deep-Packet-Inspection, Intrusion-Detection und Prevention sowie Inspektion von verschlüsseltem Datenverkehr. Der Begriff der „Firewall der nächsten Generation (NGFW)“ bezieht sich auf Firewalls, die viele dieser erweiterten Funktionen integriert haben. Eine NGFW ist somit ein Hardware- oder Software-basiertes Konstrukt, mit dem sich ausgefeilte Angriffe erkennen und blockieren lassen. Das klappt mit Hilfe von Sicherheitsrichtlinien auf dem Applikations-Layer ebenso wie auf dem Port- und Protokoll-Level.
    Aus diesem Grund kombinieren Next-Generation-Firewalls die Funktionalitäten herkömmlicher Firewalls (beispielsweise Paketfilterung, URL-Blockierung, Network-Address-Translation (NAT), etc.) mit erweiterten Funktionalitäten wie Quality of Service (QoS), SSL-Inspection und Reputations-basierte Malware-Abwehr.
  • Proxy-basierte Firewalls: Diese Firewalls agieren quasi als Gateway zwischen Endnutzern. Der gesamte Datenverkehr wird dabei über einen Proxy gefiltert, bevor er an den Endbenutzer weitergegeben wird. Dies schützt den Client vor Bedrohungen, indem er die Identität des ursprünglichen Anforderers der Information maskiert. Die Filter einer Proxy-Firewall beachten zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst typischerweise noch die Nutzdaten, also den Inhalt der Netzwerkpakete. Im Unterschied zur Stateful Inspection Technologie, die abhängig vom Produkt mitunter auch auf die Nutzdaten zugreift, reicht der typische Proxyfilter die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter. Vielmehr baut er selbst eine eigene Verbindung zum Zielsystem auf. Da er stellvertretend für den anfragenden Client mit dem Zielsystem kommuniziert, kann er die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen. So ist er in der Lage, Anfragen auch in Bezug auf den Kommunikationsfluss der Nutzdaten zu filtern und kann entscheiden, welche Antworten des Zielsystems er an den anfragenden Client weiterreicht. Dabei kann er den Paketinhalt beliebig verändern.
    Technisch gesehen arbeitet ein solcher Filter als ein in den Verkehr eingreifender Kommunikationspartner, der die Verbindungen auf beiden Seiten terminiert (es handelt sich um zwei eigenständige Verbindungen), statt die Netzwerkpakete durchzureichen.
  • Web-Application-Firewalls (WAFs): Diese Firewalls sitzen vor bestimmten Anwendungen und dienen typischerweise als Schutz der Anwendungsserver. WAFs schützen Webanwendungen vor Angriffen über das Hypertext-Transfe- Protocol (HTTP). WAFs stellen damit einen Spezialfall einer Application-Level-Firewall bzw. eines Application-Level-Gateways (ALG) dar.
    Eine WAF untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff unterbunden. Zur Klassifizierung gefährlicher oder verbotener Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application-Security-Scanner eingesetzt. Dieser analysiert, oft im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen. Alternativ werden durch eine Art Crawler oder auch Application-Security-Scanner die Webseiten der Webapplikation angesteuert und enthaltene Formularfelder durchprobiert. Die Applikation läuft in dem Fall in einer Art passivem Modus, das heißt, erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten. Der Administrator kann dann nachträglich sehen, welche Aktionen in einem scharfen Betrieb blockiert würden, und kann diese selektiv freischalten, indem er Sonderregeln einrichtet. Die konkreten Verfahren variieren von Anbieter zu Anbieter.
    Sind beispielsweise zwei Parameter für ein untersuchtes Formular definiert, kann die WAF alle Requests blockieren, die drei oder mehr Parameter enthalten. Ebenso kann die Länge und der Inhalt der Parameter geprüft werden. Allein durch die Spezifikation allgemeiner Regeln über die Parameter-Beschaffenheit, z. B. der maximalen Länge und des erlaubten Wertebereichs, können viele Angriffe verhindert oder für den Angreifer erschwert werden.

Firewall-Hardware

Bei der Firewall-Hardware handelt es sich in der Regel um einen einfachen Server. Dieser kann als Router zum Filtern von Datenverkehr und zum Ausführen von Firewall-Software arbeiten. Diese Geräte werden am Rande eines Unternehmensnetzwerks zwischen einem Router und dem Verbindungspunkt des Internet-Service-Providers platziert. Ein typisches Unternehmen kann Dutzende physischer Firewalls in einem Rechenzentrum einsetzen. Der Betreiber eines solchen Netzkonstrukts muss anhand der Anzahl der Benutzter Bund der Geschwindigkeit der Internetverbindung bestimmen, welche Durchsatzkapazität die Firewall benötigt.
Es gibt in der Praxis keine Firewalls, die ausschließlich auf Hardware basieren. Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware. Eine Firewall enthält immer als wesentlichen Bestandteil eine Software.
Der Begriff „Hardware-Firewall“ wird vielmehr als Synonym für externe Firewalls verwendet. Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der die Firewall-Software läuft. Dabei gibt es allerdings Hardware, die für die Verwendung der Firewall-Software optimiert wurde, zum Beispiel indem ein entsprechender Hardware-Entwurf dabei hilft, Teile der Ent- und Verschlüsselung bestimmter Protokolle zu beschleunigen.

Software-Firewall

Bei einer Personal-Firewall oder einer Desktop-Firewall handelt es sich um eine Software-Lösung, die den ein- und ausgehenden Datenverkehr auf dem Endgerät (Rechner) selbst filtert. Die Software-Firewall wird zum Schutz des Computers eingesetzt.
Im Gegensatz zu einer Hardware-Firewall ist eine Personal-Firewall keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert. Sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz.
Ein Nachteil dieses Prinzips ist, dass die Firewall-Software selbst angegriffen werden kann. Die Ausnutzung oder Umgehung dieser kann den vollständigen Zugang zum zu schützenden System bedeuten. Die Angreifbarkeit des Rechners wird an den Stellen, an denen die Firewall aktiv ist, von seinem Netzwerk-Betriebssystem auf seine Firewall verlagert. Eine zusätzliche Sicherheit gegen Angriffe entsteht hier dadurch, dass eine Firewall weniger komplex ist als ein ganzes Betriebssystem – und daher statistisch weniger Fehler enthält.
Als weiteren Vorteil kann eine Personal-Firewall im Gegensatz zu einer externen Firewall genau ermitteln, welche Applikationen an der ein- und ausgehenden Kommunikation beteiligt sind. Auf diese Weise sind applikationsspezifische Filter möglich, so dass man einigen Programmen den Datenverkehr erlauben kann und anderen nicht.

Bestandteile einer Next-Generation-Firewall

Firewalls legen fest, wer mit wem über welchen Kanal oder welches Protokoll kommunizieren darf oder nicht. Die Application-Layer-Firewalls (Layer-7-Firewalls) sind in der Lage, auch die Inhalte des Datenverkehrs zu filtern. Notwendig wird dies, da immer mehr schädlicher Code über den Datenanteil der Standardprotokolle geschleust wird. Moderne Firewalls stellen daher eine Sammlung von Funktionen zur Verfügung:

  • Stateful-Inspection: Dies ist die grundlegende Firewall-Funktionalität, bei der eine dynamische Paketfiltertechnik die Verkehrsströme reglementiert. Hierbei werden die Eigenschaften ausgehender Datenpakete in einer Statustabelle gespeichert. Mit dieser werden eingehende Datenpakete verglichen. Kommuniziert ein Rechner A mit einem Rechner B über einen einfachen Paketfilter, so muss dieser in seinem Regelwerk zwei Verbindungen erlauben:
    Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage, z. B. „Schicke mir Webseite netzpalaver.de“).
    Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete, in diesem Beispiel der Inhalt von www.example.com)
    Dadurch ist das Regelwerk unsicherer als eigentlich nötig, da B jederzeit an A senden darf, auch wenn A gar keine Webseite angefordert hat.
    Bei der zustandsgesteuerten Filterung (also mit Stateful-Packet-Inspection) wird nur eine Regel benötigt (bzw. die zweite wird über eine allgemeine Regel (Established/Related) erlaubt). Damit wird der Regelsatz wesentlich übersichtlicher:
    Quelle A nach Ziel B: Der Paketfilter merkt sich, wenn Rechner A mit Rechner B kommuniziert, und erlaubt nur dann Antworten darauf von Rechner B an Rechner A. Rechner B kann dadurch nicht ohne Anforderung von A beginnen.
    Die Regeln für Antwortpakete werden dynamisch erzeugt und nach Eintreffen der Antwort oder nach einem Timeout automatisch gelöscht.
    Andere Systeme prüfen zusätzlich, ob ein Paket zu einem bestimmten Zeitpunkt in der Kommunikation überhaupt erlaubt ist (zum Beispiel weitere Pakete schicken, obwohl der andere Teilnehmer die Kommunikation bereits abgeschlossen hat).
  • Anti-Virus: Diese Funktion sucht nach bekannten Viren und Schwachstellen im Netzwerkverkehr. Mit der Verbreitung von Breitbandanschlüssen und der steigenden Anzahl vorhandener Viren wurde auch die häufige Aktualisierung der Antivirenprogramme notwendig. Aber selbst unter diesen Umständen konnte sich ein neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor die Hersteller von Antivirenprogrammen darauf mit einer Aktualisierung reagieren konnten.
  • Intrusion-Prevention-System (IPS): Diese Klasse von Sicherheitsprodukten kann als eigenständiges Produkt eingesetzt werden, aber die IPS-Funktionalität wird zunehmend in NGFWs integriert. Während grundlegende Firewall-Technologien bestimmte Arten von Netzwerkverkehr identifizieren und blockieren, verwendet IPS detailliertere Sicherheitsmaßnahmen wie die Erkennung von Signaturen und die Erkennung von Anomalien, um zu verhindern, dass unerwünschte Bedrohungen in Unternehmensnetzwerke eindringen.
    Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. Ereignisse sollen dabei zeitnah erkannt und gemeldet werden. Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren. Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.
  • Deep-Packet-Inspection (DPI): DPI steht für ein Verfahren in der Netzwerktechnik, Datenpakete zu überwachen und zu filtern. Dabei werden gleichzeitig der Datenteil und der Header des Datenpakets auf bestimmte Merkmale wie Protokollverletzungen, Viren, Spam und weitere unerwünschte Inhalte untersucht. Der Unterschied zu klassischen Paketfiltern besteht darin, dass diese nur den Headerteil des Paketes überprüft, aber nicht den Datenteil. Deep-Packet-Inspection ermöglicht auch eine Regulierung von Datenströmen.
    DPI ermöglicht eine Absicherung der Verkehrsflüsse, wird aber auch zum Abhören und Sammeln von Informationen eingesetzt. Mithilfe von DPI kann auch der ausgehende Datenverkehr aus einem Unternehmen überwacht werden, um zu gewährleisten, dass keine vertrauliche Informationen die Firma verlassen, eine Technologie, die als Data-Loss-Prevention (DLP) bezeichnet wird.
  • SSL-Inspektion: Verschlüsselte Schadcodes sind von herkömmlichen Firewalls nicht zu erkennen. Malware-Programmierer nutzen dies, um ihren Schadcode unbemerkt zu verbreiten. Da immer mehr Daten verschlüsselt werden, wird die SSL-Prüfung zu einem wichtigen Bestandteil der DPI-Technologie, die in NGFWs implementiert wird. Die SSL-Prüfung agiert dabei als Puffer, der den Datenverkehr vor der Übermittlung an das endgültige Ziel entschlüsselt, um diesen zu testen. Um den verschlüsselten Netzwerkverkehr inspizieren zu können, muss die Firewall die Daten im Klartext analysieren. Die verschlüsselten Daten werden daher zunächst entschlüsselt, dann analysiert und schließlich wieder verschlüsselt zum Zielrechner geschickt. Die Firewall agiert also zwischen dem Server und dem Client und ähnelt damit einem Man in the Middle.
  • Sandboxing: Diese Funktion bezieht sich auf die Fähigkeit einer Firewall, einen bestimmten unbekannten Datenverkehr oder Code zu erkennen und diesen in einer Testumgebung auszuführen, um festzustellen, ob dieser schädlich ist. Beim Testen von Software muss darauf geachtet werden, dass das System, auf dem getestet wird, durch diese Software nicht verändert, gestört oder in irgendeiner Form beschädigt wird. Die Sandbox stellt hierbei eine Laufzeitumgebung für eine Software bereit. Die Software wird vom Rest des Systems abgeschirmt, quasi in den Sandkasten gesetzt, in dem sie einerseits keinen Schaden anrichten kann und andererseits die Wirkungen der Software aufgezeichnet werden können.

Fazit

Mathias Hein, Consultant, Buchautor, Redakteur
Mathias Hein, Consultant, Buchautor, Redakteur

Durch die Weiterentwicklung der Kommunikationsdienste sind die Sicherheitskonzepte der Unternehmen einem ständigem Wandel unterworfen. Daher muss das Thema Sicherheit als kontinuierlicher Prozess begriffen werden, der die spezifischen Anforderungen des Unternehmens mit den technischen Möglichkeiten ständig abgleicht und die Sicherheitseinrichtungen kontinuierlich an die Realität des Netzes anpasst. Die unterschiedlichen Firewall-Systeme tragen dazu bei, die Sicherheit in den Unternehmen zu erhöhen.

#Netzpalaver