Was ist eine Firewall?

Von Marcel Stäheli, 01.05.17   
Kategorien: [Sicherheit] [Technik]

Eine Firewall (engl. für Feuerschutzwand) ist ein Sicherungssystem, dass Datenverkehr analysiert und anschliessend weiterleitet oder blockiert. Sie schützt IT-Systeme vor Angriffen oder unbefugten Zugriffen. Es lassen sich einzelne Rechner, Server oder ganze Netzwerke mit einer Firewall schützen. Häufig sind Firewalls an Netzwerkgrenzen zwischen einem internen, dem zu schützenden Netzwerk, und einem externen, unsicheren Netzwerk platziert. An dieser zentralen Stelle kontrollieren Sie den ein- und ausgehenden Datenverkehr.

Grafik: Firewall

Jede Firewall besteht aus einer Softwarekomponente, die Netzwerkpakete lesen und auswerten kann. Innerhalb dieser Software lassen sich die Regeln, welche Datenpakete durchgelassen werden und welche zu blockieren sind, definieren. Die Software kann auf der zu schützenden Hardwarekomponente selbst oder auf einer separaten, nur für die Firewall vorgesehenen Hardware installiert sein. Im zweiten Fall wird die Firewall auch als externe oder als Hardware-Firewall bezeichnet.

 

Funktionskomponenten einer klassischen Firewall

Um die Schutzfunktion zu erfüllen, besitzen klassische Firewalls verschiedene Funktionskomponenten. Die Anzahl und der Funktionsumfang der einzelnen Komponenten kann sich je nach Leistungsfähigkeit von Firewall- zu Firewalllösung unterscheiden. Einige in Firewalls implementierte Funktionen sind:

Paketfilter

Die Grundfunktionalität der Firewall bildet der Paketfilter. Er filtert gefährliche Datenpakete die übertragen werden. Der Paketfilter kann mit zusätzlichen Filtern ergänzt werden mit denen die Datenpakete immer tiefer und gründlicher analysiert werden können. Es sind Analysen bis auf den Anwendungslevel möglich, das heisst, es kann erkannt werden, welche Arten von Dateien gesendet werden.

URL-Filter

Ein URL-Filter blockiert Verbindungen zu einer Webseite basierend auf der Internetadresse. Seiten die auf einer schwarzen Liste stehen (Blacklist), werden nicht weitergeleitet. Meistens können auch über Regeln definiert werden, welche Seiten blockiert werden sollen.

Inhaltsfilter

Während ein URL-Filter nur anhand des Webseitennamens blockiert, analysiert der Inhaltsfilter übermittelte Texte und Bilddateinamen einer Webseite. Texte die als Bild gespeichert sind, werden standardmässig nicht erkannt.

Virtual Private Network (VPN)

Über Virtual Private Network-Verbindungen (sog. VPN-Verbindungen) ist es möglich mit verschlüsselten Verbindungen auf das hinter der Firewall gelegene Netzwerk aus dem öffentlichen Internet sicher zuzugreifen. In vielen Fällen terminiert die Firewall solche Verbindungen, da bei verschlüsselten Verbindungen die Datenpakete nicht kontrolliert werden können.

 

Moderne Next Generation Firewalls

Next Generation Firewalls, von einigen Herstellern auch UTM-Firewalls genannt (UTM: Universal Thread Management), besitzen die Grundfunktionalitäten klassischer Firewalls, erweitern diese jedoch mit weiteren Filter- und Analysemöglichkeiten. Sie können höhere Schichten der übertragenen Protokolle auswerten und sind in der Lage, gefährlichen Datenverkehr spezifischer und intelligenter zu erkennen. Dadurch bieten diese Systeme eine noch bessere Schutzfunktion. Folgende Funktionalitäten können auf Next Generation Firewalls vorhanden sein:

System zur Eindringungserkennung (engl. Intrusion Prevention System, kurz IPS)

Ein Eindringungserkennungsfilter analysiert die Datenpakete um Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.

TLS/SSL und SSH-Überprüfung

Sichere, verschlüsselte Verbindungen sind wichtig, wenn persönliche Daten wie Adresse oder Zahlungsinformationen übermittelt werden. Verschlüsselte Verbindungen können aber von Firewalls standardmässig nicht analysiert werden. Verbindet sich ein Benutzer über eine verschlüsselte Verbindung mit einer bösartigen Webseite kann diese gefährliche Daten übermitteln, ohne dass die Firewall es verhindern kann. Mit aktiver SSL-Überprüfung wird eine verschüsselte Verbindung auf der Firewall entschlüsselt, analysiert, erneut verschlüsselt und erst dann weitergeleitet.

Antivirus- und oder Schadsoftware-Scanner

Mit den neusten Paketfiltern können einzelne Dateien analysiert werden. Nicht nur deren Namen und Typ, sondern auch den Inhalt. Damit können Antivirusscanner auf die Übertragenen Daten angewant werden.

 

Lizenzierung

Um den vollen Schutz bei Next Generation Firewalls zu erhalten, achten Sie bitte darauf das sie korrekt lizensiert ist, damit alle Funktionen aktiviert sind.

 

Grenzen einer Firewall

Eine Firewall schützt genau die Kommunikationsverbindungen, die darüber erfolgen. Gibt es Kommunikationsübergänge an der Firewall vorbei (sogenannte Backdoors), werden diese nicht kontrolliert und das gefährdet das ganze System.

Eine Firewall bietet Sicherheitsfunktionen zur Abschottung gegen das unsichere, externe Netz oder zur Kontrolle der Kommunikation zwischen dem unsicheren Netz und dem zu schützenden Netz. Das Firewall-System selbst bietet nur einen sehr geringen Schutz vor internen Angriffen.

Angriffe, die über den Inhalt von WWW-Anwendungsdaten realisiert werden, wie Java-Script, Java, ActiveX usw., können nicht mit den Grund-Sicherheitsfunktionen eines Firewall-Systems abgewehrt werden, denn die Komplexität der Anwendungen, ist dafür zu gross. Das ist der Grund warum Viren und Trojaner die über bösartige Office-Dokumente auf einen PC gelangen kaum von einer Firewall abgefangen werden können.