Ganz allgemein ist eine Firewall ein Netzwerk-Gerät, das Pakete überwacht, die in das Netzwerk hinein- oder hinausgehen. Ist eine Firewall auf einem Rechner installiert, spricht man von einer Personal- oder Desktop-Firewall. Sitzt sie nicht auf dem zu schützenden System selbst, sondern auf einem eigenen Gerät im Netzwerk, spricht man von einer externen Firewall. Andere Bezeichnungen sind Netzwerk- oder Hardware-Firewall.
Firewalls blockieren oder gewähren den Daten-Transit basierend auf definierten Regeln, die entscheiden, welcher Traffic erlaubt ist und welcher nicht. So wehren sie Angriffe von außen über offene Ports auf einen Rechner oder ein Netzwerk ab. Darunter fallen beispielsweise Internet-Würmer wie SQL Slammer, Sasser usw. Zudem blockieren Firewalls schädlichen Traffic von innen nach außen, wenn beispielsweise eine Malware, die trotz allen Gegenmaßnahmen intern Fuß gefasst hat, Kontakt zu einem Kontroll-Server aufnehmen möchte.
Die Proxy-basierte Firewall fungiert als Sicherheitsschleuse zwischen Anwendern, die Daten anfordern, und der Quelle dieser Daten. Daher wird sie oft auch als "Gateway Firewall" bezeichnet. Sie fungiert als Stellvertreter (Proxy) zwischen den zu schützenden Ressourcen und anderen Netzwerken wie dem Internet und prüft sämtlichen Austausch zwischen beiden.
Der Vorteil einer Proxy-Firewall liegt darin, dass Geräte nie direkt mit dem Netz verbunden sind. Die Firewall hat ihre eigene IP-Adresse, über die ausschließlich von außen kommuniziert wird. Daher gilt diese Art der Firewall als eine der sichersten. Da nicht nur die Netzwerkadresse und Portnummer eines ankommenden Datenpakets untersucht werden, sondern die Netzwerkpakete als Ganzes, besitzen Proxy-Firewalls meist auch umfangreiche Logging-Funktionen. Das macht sie bei einem Sicherheitsvorfall zu einer wertvollen Ressource für Administratoren, da sich Log-Daten gut auswerten lassen.
Auf der anderen Seite kann die Performance leiden, da sich Verzögerungen ergeben, wenn die Firewall andauernd eingehende Verbindungen kappt, neu aufbaut und filtert. Das wiederum macht es unmöglich, manche Anwendungen über die Firewall zu nutzen, da die Antwortzeiten zu langsam sind. Es kann zudem sein, dass die Firewall von vornherein nur bestimmte Netzwerkprotokolle und damit auch nur bestimmte Anwendungen unterstützt.
Die Stateful Firewall dagegen gleicht die die Performance-Nachteile der Proxy-Firewall wieder aus. Anstatt jedes einzelne Paket zu untersuchen, überwacht sie den Verbindungszustand - eine sogenannte Stateful Inspection. Damit verringert sich die Verzögerung.
Zu Beginn einer Verbindung prüft die Firewall in der Tiefe, ob es sich um erlaubte, sichere Pakete handelt. Stuft sie den Traffic als legitim ein, baut die Firewall eine Verbindung zum Ziel auf und lässt die Pakete passieren. Diesen Status behält sie nun im Speicher und lässt alle folgenden Pakete, die Teil dieser Kommunikation sind, ohne weitere tiefe Prüfung hindurch. Der Status beinhaltet dabei Details wie die an der Verbindung beteiligten IP-Adressen und Ports sowie die Sequenznummern der verschickten Pakete. Ungültige Pakete, die keiner existierenden Verbindung angehören, weil sie beispielsweise zu eine Denial-of-Service (DoS)-Attacke gehören, werden geblockt.
Da die Stateful Firewall alle Verbindungsinformationen - erlaubte und geblockte - in einer Tabelle in ihrem Speicher aufbewahrt, kann ein gezielter Distributed-Denial-of-Service (DDoS)-Angriff Schwierigkeiten bereiten. Unter der schieren Menge an geblockten Verbindungen, die die Tabelle bei einer solchen Attacke festhält, kann die Verarbeitung legitimer Verbindungen und damit der Service leiden.
Um dieses Risiko abzumildern, verteilen viele Unternehmen die Verarbeitung des Netzwerk-Traffics über mehrere Firewall-Appliances. Oft fällt die Wahl dabei auf Cloud-basierte Lösungen, da sie mit den Workloads mitskalieren und so einen Ausfall durch Überlastung ausschließen.
Next Generation Firewalls (NGFW) filtern Pakete zusätzlich zum Verbindungsstatus sowie Quell- und Zieldressen anhand noch weiterer Charakteristika. So beinhalten sie Regeln, was individuelle Anwendungen und Nutzer dürfen und verwenden mehr Informationen, um bessere Entscheidungen darüber zu treffen, ob Traffic erlaubt wird.
Viele NGFW vereinen heute Sicherheits-Funktionen in sich, die traditionell von anderen Lösungen erbracht wurden. Darunter fallen beispielsweise:
Intrusion Prevention Systems (IPS) - Als separate Lösung saß das IPS meist direkt hinter der traditionellen Firewall und ergriff Maßnahmen gegen erkannte Anomalien und Angriffsmuster, die es an der Firewall vorbei geschafft hatten. Viele NGFW erweitern die klassischen IPS-Fähigkeiten durch feiner granulierte Security-Faktoren. So gleichen sie den analysierten Traffic gegen eine Datenbank bekannter Angriffsmuster ab und können unbekannte Angriffe anhand von Abweichungen vom Normalbetrieb aufdecken und verhindern. Durch die Integration des IPS in die NGFW verringert sich der Verwaltungsaufwand für die Administratoren, da es keine extra Kommunikation zwischen den Lösungen zu konfigurieren und steuern gibt.
Deep Packet Inspection (DPI) - Im Gegensatz zu klassischen Paketfiltern inspiziert diese Variante nicht nur den Headerteil mit Ursprung und Ziel von Paketen, sondern auch deren Dateninhalt. So prüft DPI beispielsweise, auf welche Anwendung zugegriffen wird und welche Art von Daten übermittelt werden. Aufgrund dieser Informationen lassen sich intelligentere und detailliertere Richtlinien für die Firewall definieren. Neben der Einlasskontrolle für Traffic kann DPI auch dazu eingesetzt werden, die Bandbreite einzuschränken, die bestimmte Anwendungen nutzen dürfen, oder sensible Informationen daran zu hindern, das sichere Netzwerk zu verlassen.
SSL/TLS-Termination - Traffic, der mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) oder seinem Vorgänger Secure Sockets Layer (SSL) kodiert ist, kann durch DPI nicht geprüft werden, da der Inhalt nicht lesbar ist. Einige NGFW bieten deshalb die Möglichkeit, diesen Traffic zu stoppen, zu entschlüsseln, zu inspizieren und schließlich eine zweite TLS/SSL-Verbindung zur Zieladresse aufzubauen. So können beispielsweise Mitarbeiter daran gehindert werden, interne Informationen aus dem sicheren Netzwerk nach außen zu schicken, während legitimer Traffic ungehindert passieren kann. Da es sein kann, dass bei der Nutzung von DPI in dieser Tiefe personenbezogene Daten automatisiert verarbeitet werden, gilt es, genau zu prüfen, was hinsichtlich des Datenschutzes nötig und möglich ist.
Sandboxing - Eingehende E-Mails mit Anhängen können Schadcode enthalten. Mit Sandboxing ist es einer NGFW möglich, Anhänge und jeglichen Code, den sie enthalten, in einer abgeschirmten Umgebung auszuführen und festzustellen, ob sie schädlich sind. Der Nachteil dabei ist: Sandboxing fügt der Übertragung - ähnlich wie die Proxy-Firewall - einen zusätzlichen Schritt hinzu, der mitunter viel Rechenleistung beansprucht. Daher kann hier die Performance leiden und der Traffic-Fluss verzögert werden.
IT-LINUXMAKER setzt bei Firewalls auf das klassische iptables für Netfilter im Linux-Kernel und verwendet hier Bash-Scripte um die Firewall zu generieren und zu starten. Zum Anderen setzen wir gerne Shorewall ein, da ein bewährtes Tool ist, um sehr komplexe Regelwerke für Netfilter zu konfigurieren, das oberdrein sehr gut in der Community supported und getestet wird.
Der Paketfilter „iptables“ ist ein Userspace-Programm zur Konfiguration der Tabellen (tables), die durch die Firewall im Linux-Kernel (bestehend aus einer Reihe von Netfilter-Modulen) bereitgestellt werden. Diese Tabellen enthalten Ketten (chains) und Regeln (rules). Verschiedene Programme werden gegenwärtig für unterschiedliche Protokolle verwendet; iptables beschränkt sich auf IPv4, für IPv6 gibt es ip6tables, für ARP ist es arptables, und mit ebtables gibt es eine Sonderkomponente für Ethernet-Pakete.
Der Paketfilter „iptables“ des Linux-Kernels erlaubt die genaue Kontrolle, welche Netzwerkpakete passieren dürfen. Mit fortgeschrittenen Regeln und cleveren Tools geht sogar noch mehr.
Linux ist für die Rolle als Server prädestiniert – egal ob es sich dabei um ein System handelt, das speziell als Server abgestellt wird oder auch als Arbeitsrechner dient. Keinen geringen Anteil daran hat das Paketfilter-Modul des Linux-Kernels, das über „iptables“ konfiguriert wird. In vielen Fällen dienen die damit definierten Regeln auf einem Server oder Routersystem einfach dazu, bestimmte Pakete durchzulassen und andere zu blockieren.
Shorewall (Shoreline Firewall) ist eine freie Middleware zur Konfiguration von Firewalls, die auf den im Linux-Kernel eingebauten netfilter aufsetzen.
Die Konfiguration erfolgt in Textdateien. Aus diesen Dateien kompiliert Shorewall mit Hilfe von IPTables Netfilter-Regeln, die den durch den Kernel fließenden IP-Datenstrom regulieren. Shorewall ist kein eigenständiger Daemon und es läuft auch nicht beständig, sondern es beendet sich nach der Erstellung der Regeln.
Die von Shorewall erstellten iptables-Regeln wirken in der OSI-Schicht 3, also der Verbindungsschicht, auch wenn es möglich ist, andere Schichten zu kontrollieren.
Die Stärken von Shorewall liegen in der Abstraktion der direkt an den Schnittstellen angebundenen Netzwerke, die als „Zonen“ bezeichnet werden. Die Anzahl der Zonen und deren Einsatzzweck können beliebig definiert werden. Für die drei wichtigsten Einsatzfälle bringt Shorewall folgende Konfigurationsvorlagen mit:
Standalone – Anbindung mit nur einer Netzwerkschnittstelle und nur einer Zone, gedacht für die Sicherung einzelner PCs oder Server
Two-Interface – als Lösung für eine klassische Durchgangsfirewall mit feindlichem 'rotem' und freundlichem 'grünen' Netzwerk
Three-Interface – als klassische Lösung mit einem dritten Netzwerk, das als DMZ extra angebunden ist.
Zwischen den Zonen sind Richtlinien (Policy) zu definieren, die das Standardverhalten zwischen den Zonen festlegen. Diese stellen eine Rückfalllösung für die Verbindungen dar, für die keine expliziten Regeln im Regelwerk (Rules) definiert sind. Shorewall beherrscht auch das Erstellen von NAT, Traffic-Shaping, Bridges und vielem mehr.
Somit ist Shorewall eher eine Firewall für den professionellen Einsatz und kann nicht mit einer Personal Firewall (OSI-Schicht 7) verglichen werden.
Die Digitalisierung des Geschäftslebens, wesentlicher Produktionsprozesse und des Privatlebens ist in vollem Gange. Gleichzeitig nehmen die Bedrohungen durch Serverausfälle, Viren und Cyberkriminalität zu. Verstärkt wird das Ganze durch die Vernachlässigung der IT-Security sowohl im privaten Umfeld als auch in der Geschäftswelt. Wirklich notwendige Schutzmechanismen werden meistens erst dann in Erwägung gezogen, wenn bereits der Schaden entstanden ist und die Wiederherstellung der IT-Infrastruktur Unsummen an Kosten verursacht hat.
Linux bietet Ihnen bereits von Grund auf die sichere Basis in Ihrer IT-Infrastruktur. Einerseits, weil es schon immer als ein auf den Netzwerkbetrieb ausgerichtetes Betriebssystem konzeptioniert wurde. Andererseits, weil die freie Verfügbarkeit des Source-Code die Möglichkeit von schadhaft oder zweckentfremdet programmierter Funktionen nahezu unmöglich macht. Zusätzlich bedeutet „Open Source“ seit eh her eine permanente Verbesserung durch innovative Spezialisten aus aller Welt. Inzwischen vertrauen immer mehr Anwender Linux, das unter Anderem den Kernel für die zahlreichen Android-Installationen liefert, so auch Unternehmen respektive Instutionen wie Siemens, BMW, Lufthansa, Deutsche Post AG, Greenpeace und staatliche Institutionen inklusive des Bundesbeauftragten für Datenschutz.
Sie sind ein Unternehmen, ein mittelständisches Unternehmen, ein Handwerksbetrieb, ein Einzelunternehmer mit der entsprechenden IT-Infrastruktur und Sie möchten Ihre Kunden mit Ihren Produkten umfassend zufriedenstellen. Oder Sie sind eine Privatperson mit entsprechenden Supportwünschen. Ihre IT-Infrastruktur soll zuverlässig rund um die Uhr funktionieren. IT-LINUXMAKER kann als Experte auf diesem Gebiet Ihre Informationen effektiv und schnell schützen. Mit den Services von IT-LINUXMAKER sichern Sie sich Ihren Wettbewerbsvorteil durch die Stabilität Ihrer IT-Infrastruktur und Ihrer Daten.
Linux-Experte, Linux-Spezialist, Linux-Support, Linux-Consultant, IT-Security-Experte, IT-Experte, Senior Consultant, MAC-Experte, IT-Security, IT-Sicherheit, IT-Konzepte, Stuttgart
Alle Checklisten für sicheres digitales Arbeiten finden Sie hier:
Generien Sie sichere und beliebig lange Passwörter mit der Passwortkarte. Überprüfen können Sie es hier.
Unsere Honorare sind abhängig von Dienstleistung/Produkt und dem Umfang. Von daher können wir erst in einem Angebot unsere Honorare nennen, wenn wir Ihr Anliegen bereits kennen.