„Firewall“ – Versionsunterschied

Eine Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist eine Software, die dazu dient, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall unerlaubte Netzwerkzugriffe zu unterbinden.

Abhängig davon, wo die Firewallsoftware installiert ist, wird unterschieden zwischen einer Personal Firewall (auch Desktop Firewall) und einer externen Firewall (auch Netzwerk- oder Hardwarefirewall genannt). In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern läuft auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewallsoftware gleichzeitig den Zugriff zwischen den Netzen beschränkt.

Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen. Sie soll ausschließlich Regeln für die Netzwerkkommunikation umsetzen. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Allgemeine Grundlagen

Funktionsweise eines Fernzugriffs auf ein Computersystem

→ Hauptartikel: Netzwerkdienst

Der Zugriff auf einen Netzwerkdienst

Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen, wie Dateien und Drucker, über ein Netzwerk ermöglicht. Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt. Erst ein dort laufender Netzwerkdienst (hier eine Webserversoftware) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen. Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen Port der Netzwerkschnittstelle. Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss folgerichtig bedeutet, dass ein offener Port immer zu einem solchen Computerprogramm gehört.

Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die normalen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen.

Der Rückweg vom Netzwerkdienst zum PC

Der Rückweg vom Netzwerkdienst hin zum entfernten PC, der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen. Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll. Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen. Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren.^[1] Die Schadsoftware kann dann als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen.^[2]

Die Netzwerkimplementierung des Betriebssystems

Mitunter kann auch eine fehlerhaft implementierte Netzwerkanbindung des Betriebssystems (inklusive fehlerhafter Treibersoftware) für einen Netzwerkzugriff genutzt werden, der in dieser Form vom Hersteller nicht vorgesehen war.

Die Schutzfunktion einer Firewall

Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden. Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“). In der Regel kann eine Firewall jedoch nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf.

Bei der Ausnutzung des Rückwegs kann eine Firewall in der Regel nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen darf. Daher sollte man Programme, die für den Netzwerkzugriff bestimmt sind, auf den aktuellen Stand halten, damit bekannte Sicherheitslücken dort geschlossen werden. Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten ActiveX-Objekten aus Webseiten vorgenommen wird. Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann. Dieses Verhalten lässt sich allerdings sinnvoller über die Konfiguration des verwendeten Browsers vornehmen, statt dafür den Filter einer Firewall zu nutzen.

Je nach Firewalltyp kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden. Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig.

Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren.

Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag. Es ist sinnvoll den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren. Eine Ausnahme könnte ein Gurt bilden, der den Autofahrer gleichzeitig gefährdet (hier mit Bezug zur Personal Firewall), was unter Umständen dazu führen kann, dass alternativen Lösungen eine höhere Sicherheit bieten.

Filtertechnologien

→ Für eine detaillierte Beschreibung siehe Firewall-Technologien

Paketfilter

Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint).

Stateful Inspection

Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung. Damit gelingt es den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.

Proxyfilter

Ein Proxyfilter stellt stellvertretend für den anfragenden PC (genauer dem Client) die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter. Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen. Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen. Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.

Contentfilter

Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern oder allgemein bekannte Schadsoftware beim Herunterladen zu blockieren. Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und ähnliches fällt darunter.

Sichtbarkeit für Anwender

Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden. Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten:

Sichtbar

Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem. Hier bittet der Client die Proxy-Firewall stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen. So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet. Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.

Einer Seite gegenüber transparent

Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall. Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die (NAT- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann. Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt. Mögliche Angriffe von dort sind also auch hier an die Firewall gerichtet und treffen nicht direkt den Client. Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird. Diese Form kommt nur auf einer externen Firewall vor und ist die am häufigsten verbreitete Art bei Firewallgeräten für den Heimbereich.

Beiden Seiten gegenüber transparent

Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können. Der Datenstrom fließt einfach durch die Firewall hindurch. Auf der Ebene der IP-Adressierung sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen (Router ohne NAT). Dennoch kann die auf dem Gerät laufende Firewallsoftware den Datenstrom unterbrechen (bestimmte Pakete herausfiltern). Auch diese Form kommt nur auf einer externen Firewall vor.

Unsichtbar

Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch. Das Gerät, auf dem die Firewallsoftware läuft, arbeitet nun aber wie eine Bridge, wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.

Ein anderer Ansatz mit nahezu gleicher Wirkung findet bei der Personal Firewall Anwendung: Eine lokal auf dem Computer installierte Firewallsoftware überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt). Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems. Dadurch verändert sich weder die Netzwerkadresse des Quellsystems, noch der Kommunikationsweg zum Zielsystem. Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar. Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt).

Regelwerk

→ Hauptartikel: Firewall-Regelwerk

Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, dass in das Muster eines Filters passt. Es wird zwischen den folgenden Aktionen unterschieden, die je nach Produkt unterschiedlich betitelt sein können:

DENY oder DROP

Das Paket wird verworfen, also nicht durchgelassen, ohne weiter darauf zu reagieren.

REJECT

Das Netzwerkpaket wird an den Absender zurückgeschickt mit der Bemerkung, dass der Zugriff unzulässig war.

ALLOW oder PASS

Die Netzwerkanfrage ist erlaubt und wird durchgelassen. Diese Begriffe beziehen sich meist auf den ausgehenden Datenverkehr (also vom internen hin zum externen Netz, bzw. bei Personal Firewalls vom eigenen Computersystem ins Netz).

FORWARD oder PERMIT

Die Netzwerkanfrage ist erlaubt und wird weitergeleitet, was die Möglichkeit einer Umleitung auf eine vom Administrator festgelegte Netzwerkadresse einschließt. Diese Begriffe beziehen sich vorwiegend auf den eingehenden Datenverkehr (also vom externen hin zum internen Netz, bzw. bei Personal Firewalls auf Anfragen aus dem Netz).

Überprüfbarkeit des Quelltextes

Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit. Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll. So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der Personal Firewalls, die selbst heimlich Daten zum Hersteller schicken, also genau dass tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen.^[3]

Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können. Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie Freier Software umfassen auch kommerzielle Produkte (Freie Software ist nicht dasselbe wie Freeware).

Grenzen

Quelloffene Software kann zwar mit entsprechender Sachkunde auf heimliche Funktionalitäten und Schwachstellen hin untersucht werden, was jedoch nicht bedeutet, dass diese Überprüfung auch stattfindet. Über einen langen Zeitraum bestehende Sicherheitslücken in quelloffener Software weisen auf diesen Umstand hin.^[4][5] Zudem ist selbst eine geschickt verbaute Hintertür auch mit fundierten Fachkenntnissen mitunter schwer zu erkennen. Der Zeitaufwand für eine Analyse ist bei komplexen Programmen oft beträchtlich. Eine Überprüfung des Quelltextes ist aber wenigstens möglich.

Ob das von einer externen Quelle bezogene ausführbare Programm tatsächlich mit dem veröffentlichten Quellcode erstellt wurde, ist für den Anwender oft schwer zu erkennen. Mit Hilfe entsprechender Software kann der Anwender aber selbst den Quelltext in ein ausführbares Programm übersetzen.

Grundlagen zu den Firewallarten im Vergleich

Je nach ihrem Einsatzort unterscheidet man zwei Arten von Firewalls. Personal Firewalls sind Programme, die auf dem Computer laufen, den sie schützen sollen. Externe Firewalls sind dem zu schützenden Computer bzw. Computernetzwerk auch physikalisch vorgeschaltet.

Personal Firewall (auch Desktop Firewall)

→ Hauptartikel: Personal Firewall

Als Personal Firewall oder Desktop Firewall wird eine lokal auf dem Computer installierte Firewallsoftware bezeichnet. Zu ihrer Aufgabe gehört es, ungewollte Zugriffe von außen auf Netzwerkdienste des Computers zu unterbinden. Abhängig vom Produkt kann sie zudem versuchen, Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.

Der Internetanschluss könnte ein DSL-Anschluss inklusive DSL-Modem sein. In der einfachsten Betrachtung gibt es zwei Anschlussmöglichkeiten:

Entweder ist die Netzwerkkarte des abgebildeten PCs, auf dem die Personal Firewall läuft, direkt mit dem DSL-Modem verbunden. Dieser PC kann somit exklusiv auf das Internet zugreifen und optional über eine zweite Netzwerkkarte auch mit seinem (möglichen) privaten (in sich geschlossenen) Netz verbunden sein (Verbindung des PCs mit dem Switch). Die Abbildung bezieht sich auf diese erste Variante.

Eine andere Anschlussmöglichkeit bietet ein Internetanschluss, der zu dem DSL-Modem auch ein vermittelndes Gerät (DSL-Router) beinhaltet. Bezogen auf die Abbildung lässt sich ein solcher Internetanschluss mit dem Switch verbinden oder auch in einem solchen Gerät integrieren. Dadurch können sämtliche Computer des privaten Netzes den Internetanschluss nutzen. Der abgebildete PC mit der Personal Firewall benötigt dann lediglich die Verbindung zum Switch.

In beiden Fällen kann dieser PC auf beide Netzwerke, das Internet und das private lokale Netz (LAN), zugreifen. Im Unterschied zu einer externen Firewall, die den Internetzugriff kontrolliert, filtert die Personal Firewall die PC-Verbindung von und zu beiden Netzen.

Was für den Einsatz einer Personal Firewall spricht

Computerwürmer, die einen Sicherheitsfehler in einem Netzwerkdienst ausnutzen, um sich zu verbreiten, können den Computer nur dann infizieren, wenn der entsprechende Netzwerkdienst für den Wurm erreichbar ist. Hier kann eine Personal Firewall den Fernzugriff auf den Netzwerkdienst einschränken und somit eine Infektion erschweren oder sogar verhindern. Gleiches gilt für einen Netzwerkzugriff eines möglichen Eindringlings.

Benötigt wird eine solche Filterung jedoch nur, wenn ein erforderlicher Netzwerkdienst auf dem Computer betrieben wird und der Zugriff darauf auf einige wenige Computer beschränkt werden soll. Manchmal soll der Dienst auch lediglich von Prozessen auf demselben System genutzt können, ohne dass sich die Software dahingehend konfigurieren lässt. In allen anderen Fällen ist die Deaktivierung der Netzwerkdienste einer Blockade durch eine Personal Firewall vorzuziehen.

Darüber hinaus können die Regeln der Personal Firewall im günstigsten Fall unterbinden, dass ein heimlich reaktivierter oder installierter Dienst ungehindert vom Netzwerk aus ansprechbar ist, falls trotz aller Vorsicht eine Schadsoftware auf dem System aktiviert wird. Ein solcher Erfolg der Firewallsoftware ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (in Fachartikeln aus Microsofts TechNet Magazine^[6] und der c’t^[7] wird davor gewarnt, dass die Personal Firewall unerwünschte Netzwerkzugriffe nur unterbinden kann, wenn sich die Schadsoftware keine große Mühe gibt ihre Aktivitäten zu verbergen). Wenn man die (mögliche) Meldung der Firewallsoftware nutzt, um reaktivierte Dienste nebst Schadsoftware gleich wieder zu entfernen, kann der Einsatz der Personal Firewall doch lohnend gewesen sein.

Grenzen

Personal Firewalls können vor einigen Computerwürmern schützen, wenn sich diese ausschließlich über das Netz verbreiten. Sie bieten jedoch keinen Schutz vor der Installation einer Schadsoftware, die beispielsweise darauf basiert, dass der Anwender eine belastete Datei öffnet.

Abhängig vom Produkt kann eine Personal Firewall neu hinzukommende Netzwerkdienste (und Anwendungen mit entsprechender Funktionalität) erkennen und den Anwender über ein Hinweisfenster fragen, ob ein Netzwerkzugriff darauf erlaubt sein soll oder nicht. Beispielsweise arbeitet die in Microsoft Windows integrierte Firewallsoftware auf diese Weise. Einige Produkte versuchen darüber hinaus auch „normale“ Anwendungsprogramme davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, in der Hoffnung dabei auch den Netzwerkzugriff einer entsprechenden Schadsoftware zu beschränken. Da jedoch eine Firewall, gleich welcher Art, nicht zuverlässig verhindern kann, dass eine auf dem PC installierte Spyware oder ein sonstiges Schadprogramm auf das Netzwerk zugreift,^[6][7][8] ist ein entsprechend vollwertiger Schutz nicht gegeben, auch wenn einem die Werbung mancher Firewallprodukte dies glauben macht. Vergleichen lässt sich diese Schutzwirkung der Personal Firewall mit einem Zaun, der – solange die Firewallsoftware läuft^[9] – zwar ein durchaus vorhandenes, aber kein unüberwindbares Hindernis darstellt.

Es ist daher sinnvoller sich Gedanken darüber zu machen, wie man die Installation einer Schadsoftware auf dem zu schützenden PC verhindert, statt zu versuchen, deren Kommunikation mit dem Netzwerk zu unterbinden. Gleiches gilt für die unerwünschte Netzwerkkommunikation von Programmen jenseits der Schadprogramme, die man nicht über die Personal Firewall, sondern besser über die entsprechende Konfiguration der Programme abstellen sollte, damit dies auch noch Wirkung zeigt, wenn die Firewallsoftware ausfällt. Innerhalb ihrer Grenzen kann hier die Personal Firewall mitunter dabei helfen zu erkennen, wann eine solche Kommunikation stattfindet.

Was gegen den Einsatz einer Personal Firewall spricht

Programme, welche auf derselben Hardware wie die Firewallsoftware laufen, haben wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall. Ein Absturz oder gar eine dauerhafte Deaktivierung der Firewallsoftware durch einen Softwarefehler oder ein Schadprogramm führt dazu, dass ein uneingeschränkter Zugriff auf die zuvor gefilterten Netzwerkdienste möglich wird, ohne das der Anwender dies bemerkt. Abhängig vom Produkt und Wissensstand des Anwenders kann auch eine Fehlbedienung diesen Zustand herbeiführen.

Es ist zudem ein Problem des Konzepts, dass sich die Firewallsoftware zwischen die normale Netzwerkimplementierung des Betriebssystems und die Außenwelt stellt, wodurch zwar nicht mehr die ursprüngliche Netzwerkimplementierung, dafür aber die wesentlich komplexere Firewallsoftware direkt angreifbar wird.^[10][11] Die Erfahrung zeigt, dass eine Software mehr Fehler und Angriffspunkte enthält, je komplexer sie ist.^[12] Da ihre Komponenten (zumindest teilweise) mit erweiterten Rechten laufen und in der Regel sogar Kernelkomponenten installiert werden, wirken sich Programmier- und Designfehler hier besonders verheerend auf die Sicherheit, Performance und Stabilität des Computersystems aus. Auf diese Weise können Angriffs- und Spionagemöglichkeiten geschaffen werden, die es ohne die installierte Firewallsoftware nicht gibt. So können Personal Firewalls selbst Sicherheitslücken enthalten, die beispielsweise einem Computerwurm erst Ansätze für einen Fernzugriff bieten.^[13]

Sicherheitstechnisch bedenklich wird der Einsatz einer Personal Firewall auch, wenn aufgrund zu vieler und komplizierter Sicherheitsmaßnahmen die persönlich vertretbare Schwelle zwischen Sicherheit auf der einen Seite und Arbeitskomfort auf der anderen Seite überschritten wird. Das ist spätestens der Fall, wenn – trotz schlechten Gewissens – die installierten Barrieren selbst unterwandert werden, indem die Personal Firewall beispielsweise für den reibungslosen Betrieb eines Computerspiels abgeschaltet wird. Es ist besser gänzlich auf Sicherheitsmaßnamen zu verzichten, die dafür sorgen, dass ein System nur noch ungern oder gar nicht mehr benutzt wird und die daher im Bedarfsfall vom Anwender selbst ausgehebelt werden. Es gilt die Schwelle des Zumutbaren zu finden, das System entsprechend zu konfigurieren, die verbleibenden Risiken zu kennen und fortan mit nicht übertriebener, aber angemessener Vorsicht zu agieren. Dafür ist es unerlässlich von Sicherheitsmaßnahmen abzusehen, die man ohnehin selbst unterwandert. Tut man das nicht, so werden die verbleibenden Risiken durch die Firewall lediglich kaschiert, wodurch die Firewall selbst zum Sicherheitsrisiko wird.

Während eine externe Firewall lediglich eine Auswirkung auf die Netzwerkperformance bei der Kommunikation mit dem externen Netz (Internet) hat, beeinflusst eine Personal Firewall die gesamte Netzwerkperformance negativ und verlangsamt zudem die allgemeine Arbeitsgeschwindigkeit des PCs, auf dem sie installiert wurde. Vor allem auf Systemen, bei denen eine Personal Firewall bereits ein fester Bestandteil des Betriebssystems ist, wie beispielsweise bei Windows XP (ab SP2), Vista und Windows 7, kann es fragwürdig sein, eine weitere Firewallsoftware zu installieren.

Alternative Lösungen zur Unterbindung eines Fernzugriffs

Die Deaktivierung aller nicht benötigten Netzwerkdienste bietet den besten Schutz gegen ungewollte Fernzugriffe. Denn eine Firewallsoftware kann versagen, aber niemand kann auf Netzwerkdienste zugreifen, die nicht gestartet wurden. Zudem verlangsamt der Start eines jeden unnötigen Dienstes die Startgeschwindigkeit des Betriebssystems. Darüber hinaus nehmen sie unnötig Speicherressourcen in Anspruch und bremsen das gesamte Computersystem mehr oder weniger stark aus. Es gibt einfach zu bedienende Hilfsmittel, die es auch einem Laien ermöglichen, nicht benötigte Netzwerkdienste auf eine unkomplizierte Art zu deaktivieren.^[14]

Um einen Zugriff auf verbleibende Netzwerkdienste aus dem Internet heraus zu verhindern, sollten sie nicht an den Netzwerkadapter gebunden sein, der an dem Internet angeschlossen ist. Diese Aufgabe ist für einen Laien nicht ganz trivial, weshalb sich der Einsatz eines vermittelnden Gerätes, wie beispielsweise ein DSL-Router, anbietet. Dieses Gerät sorgt automatisch dafür, dass ein Netzwerkdienst nur aus dem internen (privaten) Netz, nicht jedoch aus dem Internet heraus direkt zugreifbar ist (siehe auch „Was für den Einsatz einer externen Firewall spricht“).

Externe Firewall (auch Netzwerk- oder Hardwarefirewall)

→ Hauptartikel: Externe Firewall

Eine externe Firewall (auch Netzwerk- oder Hardwarefirewall genannt) beschränkt die Verbindung zwischen zwei Netzen. Das könnten beispielsweise ein Heimnetzwerk und das Internet sein.

In all den Punkten, in denen sich die Funktionalitäten einer externen Firewall mit denen einer Personal Firewall gleichen, ist die externe Firewall zuverlässiger. Denn ein derart spezialisiertes Gerät bietet vorwiegend ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physikalischen Trennung zu dem zu schützenden Computersystem nicht so einfach manipuliert werden kann. Die externe Firewall ist dafür prädestiniert, unerlaubte Zugriffe von außen (in der Abbildung das WAN) auf das interne System zu unterbinden. Das interne System besteht hier nicht zwangsläufig aus nur einem einzigen Computer, sondern kann sich auf einen Verbund mehrerer Computer beziehen, die das interne Netz (LAN) bilden.

Hardwarefirewall

Es gibt keine Firewalls die ausschließlich auf Hardware basieren. Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware. Bei einer Firewall handelt es sich immer um eine Software.

Der etwas ungünstig gewählte Begriff Hardwarefirewall wird vielmehr als Synonym für externe Firewalls verwendet. Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der die Firewallsoftware läuft.

Was für den Einsatz einer externen Firewall spricht

Ein direkter Anschluss eines Computers an das Internet (genauer an ein entsprechendes Modem) hat zur Folge, dass alle Computer aus dem Internet auf die an diesem Netzwerkanschluss gebundenen Dienste des Computers zugreifen können, was einen Fernzugriff auf den Computer ermöglicht.

Um Fernzugriffe aus dem Internet zu unterbinden, wäre es eine Lösung, zwischen dem internen (privaten) Netz und dem externen Netz (Internet) zu unterscheiden und benötigte Dienste nur an die Netzwerkschnittstelle des internen Netzes zu binden. Eine im sichtbaren oder einseitig transparenten Modus laufende externe Firewall kann diese Aufgabe übernehmen: Statt des PCs wird die externe Firewall an das Internet angeschlossen, wobei die PCs aus dem internen Netz wiederum mit diesem Gerät vernetzt werden. Die PCs übermitteln ihre Anfragen an das Internet nun an die Firewall, welche stellvertretend für die PCs auf das Internet zugreift. Das Zielsystem sieht daher als Absender nur die Firewall, die wiederum die Antwortpakete des Zielsystems an den entsprechenden PC im internen Netz weiterleitet. Je nach Firewalltyp ist es ihr dadurch möglich, die Netzwerkpakete in beiden Richtungen zu analysieren und zu filtern, noch bevor sie die tatsächlichen Kommunikationspartner erreichen.

Beispielkonfiguration der Abbildung: Der Internetanschluss könnte ein DSL-Anschluss inklusive DSL-Modem sein. Die Firewall könnte dann auf einem DSL-Router installiert sein, der von den PCs im privaten (in sich geschlossenen) Netz als default Gateway angesprochen wird. Das Gerät verwaltet dadurch die Netzwerkanfragen der internen PCs und kann zwischen Anfragen an das interne (private) und externe Netz (Internet) unterschieden und sie entsprechend weiterleiten. Der Switch verbindet die PCs des internen Netzes miteinander und ist meist in einer solchen Firewall integriert, wird hier aber bewusst als eigenständiges Gerät dargestellt, um zu verdeutlichen, dass eine derartige Firewall nur den Zugriff zwischen dem internen und externen Netz filtert, jedoch keinen Einfluss auf die Kommunikation im internen Netz hat.

Da das Zielsystem aus dem Internet nicht den internen PC, sondern nur die Firewall sieht, sind mögliche Angriffe aus dem Internet an die dafür prädestinierte Firewall gerichtet und treffen nicht direkt den internen PC. Jemand aus dem Internet, der auf der Netzwerkadresse der Firewall nach einem Netzwerkdienst (wie beispielsweise die Datei- und Druckerfreigabe) sucht, wird nicht fündig, da der Dienst auf dem PC und nicht auf der Firewall läuft. Auf diesem Level ist die Firewall also nicht angreifbar und die Netzwerkdienste der internen PCs aus dem Internet heraus nicht erreichbar.

Auch eine Schadsoftware, die womöglich auf dem PC heimlich einen Netzwerkdienst installiert, kann an diesem Zustand nichts ändern. Der Netzwerkdienst ist nur aus dem privaten Netz heraus ansprechbar, nicht jedoch aus dem Internet heraus (die Schadsoftware kann schließlich keinen Dienst auf der Firewall installieren, sondern nur auf dem PC).

Für die beschriebene Funktionalität ist es erforderlich, dass das Firewallgerät richtig konfiguriert wurde (das zu schützende Computersystem darf nicht als „Standardserver“ oder „exposed Host“ betrieben werden, bzw. sollte es in keiner „DMZ“ stehen, was je nach der Benutzeroberfläche des Firewallgerätes meist auch ohne fundierte Fachkenntnisse leicht überprüft und im Bedarfsfall angepasst werden kann).

Grenzen

Im privaten Bereich finden meist Firewallrouter Anwendung, die auf einem DSL-Router arbeiten. Sie können einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, denn sie wurden für eine solche Aufgabe nicht konzipiert: Damit ein solches Gerät ohne permanenten manuellen Konfigurationsaufwand funktioniert, muss es in der Lage sein, dynamische Regeln zu erstellen. Der DSL-Router realisiert dies mithilfe von PAT. Abgesehen von Anfragen auf explizit gesperrten Zielports erlaubt er deshalb automatisch alle Kommunikationsverbindungen, die von dem internen Netz (also von den privaten PCs) angefordert wurden.

Wenn also eine Schadsoftware lediglich einen Netzwerkdienst installiert, der auf eine externe Verbindung wartet, so funktioniert der Schutzmechanismus recht gut. Baut sie jedoch selber eine Verbindung zum Internet auf, so wird das Gerät die Verbindung zulassen, da sie vom internen Netz heraus angefordert wurde. Ein solches Gerät kann also lediglich externe Verbindungsanfragen effektiv unterbinden.

Hier bietet eine Personal Firewall mitunter mehr Möglichkeiten, ist dafür aber auch leichter zu umgehen und beinhaltet die oben genannten Risiken. Eine Personal Firewall ist also kein ebenbürtiger Ersatz für solche Geräte, sie kann aber unter bestimmten Bedingungen als eine entsprechende Ergänzung dienen.

Dem entsprechend erreichen einige DSL-Router, die im Widerspruch dazu augenscheinlich eine Netzwerkzugriffskontrolle für Anwendungen des PCs zu realisieren scheinen, dies mit einem simplen Trick: Laut Handbuch soll der Anwender zunächst die zu dem Gerät gehörende Administrationssoftware auf dem PC installieren. Zusammen mit der Administrationssoftware gelangt so auch eine hauseigene Personal Firewall auf den heimischen PC. Auch wenn sich die lokal installierte Software mit dem Logo und dem Namen der externen Firewall meldet, hat sie nichts mit ihr zu tun. Eine solche Lösung unterscheidet sich sicherheitstechnisch gewöhnlich nicht von anderen Personal Firewalls, die zusätzlich zu einem DSL-Router installiert werden.

Eine andere Herangehensweise, um die Kommunikation einer Schadsoftware mit dem Internet zu unterbinden, basiert mitunter auf der Idee, dass die Firewall alle Zugriffe des internen Netzes auf das Internet sperren soll, die beispielsweise nicht für den Aufruf von Webseiten benötigt werden. Das wird dadurch erreicht, dass eine Filterregel sämtliche Anfragen auf das Internet blockiert. Eine weitere Regel erlaubt nun explizit DNS-Anfragen an den DNS-Server seiner Wahl und Zugriffe auf den Port 80 (HTTP) beliebiger Internetserver, damit der dort laufende Netzwerkdienst für den Zugriff auf Webseiten erreicht werden kann. Die Annahme ist, dass eine auf dem zu schützenden PC installierte Schadsoftware, die selbständig eine Verbindung zu einem Netzwerkdienst aus dem Internet herstellt, nun blockiert wird, da die Netzwerkanfrage auf deren Port nicht mehr durchgelassen wird.

Diese „Schutzwirkung“ ist jedoch stark begrenzt, denn es ist nicht mit Sicherheit auszuschließen, dass die zu blockierende Schadsoftware nicht auch den freigegebenen Port für ihre Kommunikation verwendet. Je populärer der Port ist, desto wahrscheinlicher wird ein solches Szenario. Da auf fast jeder externen Firewall der Port 80 für die Kommunikation mit dem Internet freigeschaltet ist, nutzen zahlreiche Schadprogramme nun ebenfalls den Port 80 für ihre eigene Kommunikation mit dem Internet, da sie davon ausgehen können, dass der Port nicht blockiert wird. Firmen verwenden solche Filter eher mit dem Ziel, den Zugriff ihrer Mitarbeiter auf das Internet einzuschränken (beispielsweise um zu erreichen, dass HTML-Seiten aufgerufen werden dürfen, eine Teilnahme am Chat jedoch unterbunden wird). Im privaten Heimnetzwerk ergibt solch ein Regelwerk meist keinen Sinn.

Jenseits der Portsperre gibt es auf fachgerechten Geräten erweiterte Methoden, um interne Verbindungsanfragen mithilfe der externen Firewall zu kontrollieren. Sie setzen in der Regel Proxys ein und unterstützen so die Möglichkeit, dass sich jede Anwendung vor der Netzwerkkommunikation bei der externen Firewall authentifizieren muss, bevor die Kommunikation erlaubt wird. Ein Nachteil dieser Methode ist, dass die Anwendung das Authentifizierungsprotokoll (z. B. SOCKS) kennen muss. In einem solchen Umfeld lassen sich also nur Anwendungen nutzen, die entsprechend erweitert wurden, wenngleich die Unterstützung dieser Protokolle bereits breite Verwendung findet, sodass man diesbezüglich fast von einer Standardausstattung der Applikationen sprechen kann. Damit wird es für eine Schadsoftware schwerer, aber nicht unmöglich, unbemerkt mit dem externen Netz zu kommunizieren.

Ergänzend lassen sich auf professionellen Firewalls mitunter spezielle Filter installieren, welche nach einigen bekannten Malwaresignaturen in den Netzwerkpaketen eines Dienstes suchen und die Pakete bei Identifikation sperren.

Die genannten erweiterten Methoden erhöhen die schadensbegrenzende Wirkung der externen Firewall auch bei der Kommunikation von innen nach außen. Da sie jedoch bei Geräten für den privaten Gebrauch kaum anzutreffen sind, stellen sie zumindest in diesem Bereich eine Ausnahme dar.

Grundsätzlich sind externe Firewalls dafür ausgelegt, lediglich den Netzwerkzugriff zwischen dem internen und externen Netz zu beschränken. Sie bieten also keinen Schutz vor Computerwürmern, die sich über das Netzwerk verbreiten, wenn diese über CDs, USB-Sticks oder Disketten in das interne Netz gebracht werden. Die Computerwürmer Sasser, W32.Blaster und Conficker haben durch Ausbrüche in großen Firmen wie der deutschen Postbank und Delta Air Lines gezeigt, dass diese Infektionswege real funktionieren.^[15]

Was gegen den Einsatz einer externen Firewall spricht

Betreibt der eigene Computer an der Internetschnittstelle keine Netzwerkdienste und wird auch sonst entsprechend fachmännisch betrieben, so ergibt es keinen Sinn ihn an eine externe Firewall anzuschließen. Denn die Firewall muss für ihre Arbeit die Netzwerkpakete kurz „aufhalten“, um sie den Regeln gegenüber einzuordnen und ggf. zu analysieren. Sie verlangsamt die Netzwerkkommunikation also abhängig von ihrer eigenen Hardwaregeschwindigkeit und Auslastung mehr oder weniger stark.

Zudem gibt es einen weiteren Punkt, der ebenso gut auch auf die Verwendung einer Personal Firewall zutrifft: Der Einsatz einer Firewall kann dazu beitragen, dass der Anwender sich in Sicherheit wiegt und unvorsichtig wird, indem er beispielsweise nun leichtfertig Software aus unsicheren Quellen installiert, da ihn die Firewall vermeintlich vor einen Fernzugriff auf eine mögliche Schadsoftware schützt. Dadurch verliert er nicht nur die Sicherheit, sondern gefährdet sein System mehr als zu Zeiten, in denen er noch keine Firewall eingesetzt hat. Sicherheit ist kein Produkt, sondern ein ständig zu pflegender Prozess, der im Kopf beginnt und genau dann endet, wenn er den Kopf verlässt. Der Einsatz einer Firewall, gleich welcher Art, darf also keine unvorsichtige Arbeitsweise provozieren. Denn dies verkehrt ihre Wirkung ins Gegenteil. Das lässt sich mit der Verwendung eines Sicherheitsgurts vergleichen: Trotz dass er einen nicht absolut zuverlässig schützen kann, sollte man ihn anlegen, wobei er auf keinen Fall zum unvorsichtigen Fahren animieren darf, was den vermeintlichen „Schutz“ ad absurdum führen würde. Anlegen sollte man den Gurt sinnbildlich, da die externe Firewall (entgegen der Personal Firewall) von sich aus das zu schützende System nicht gleichzeitig gefährdet. Zumindest schadet sie also nicht, solange sie keine unvorsichtige Arbeitsweise provoziert.

Zudem ist die Verwendung eines Firewallsystems ohne Sicherheitskonzept fragwürdig, vor allem wenn man deren Grenzen nicht kennt. Grundsätzlich sollte daher vor der Installation ein Konzept ausgearbeitet werden, um die eigenen Anforderungen richtig einschätzen zu können und diese den Möglichkeiten und Grenzen der Firewall gegenüberzustellen. Denn erst wenn man weiß, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreichen werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird. In größeren Organisationen kommt dafür üblicherweise eine eigene Sicherheitsrichtlinie zum Einsatz.^[16]

Weitere Einsatzgebiete in Unternehmensnetzen

In Unternehmensnetzen rechtfertigt nicht nur der Übergang vom LAN zum Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Netzwerkzonen Rechnung zu tragen, beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.^[17]

Firewall-Technologien

Eine Firewall kann mit verschiedenen Methoden erwünschten von unerwünschtem Netzwerkverkehr unterscheiden, von denen aber nicht jedes Produkt alle unterstützt.

Firewallrouter, Paketfilterfirewall und allgemeine Paketfilter

→ Hauptartikel: Paketfilter

Ein Firewallrouter, auch Paketfilterfirewall genannt, ist eine Software, die auf einem Router installiert ist und die dort die Netzwerkverbindung beschränkt. Sie kann im einseitig transparenten (Router im NAT-Modus) oder beidseitig transparenten Modus in Erscheinung treten (Router ohne NAT).

Dieser Firewalltyp war die erste Firewallart überhaupt und ist bei gleicher Hardware verglichen mit anderen Firewallarten sehr schnell. Zu ihrer Aufgabe gehört es Netzwerkpakete an Hand ihrer Netzwerkadresse zu sperren oder durchzulassen. Dafür wertet sie die Header-Informationen der Netzwerkpakete aus.

Die einfache (zustandslose) Paketfilterung betrachtet jedes Netzwerkpaket einzeln. Sie stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her. Demgegenüber gibt es eine erweiterte Form der (zustandsgesteuerten) Paketfilterung, die solche Beziehungen erfasst, indem sie auf die Technik der Stateful Inspection zurückgreift und so den Zugriff auf das Quellsystem, das eine Kommunikation angefordert hat, weiter einschränkt. Eine entsprechende Firewall wird ebenfalls als reine Paketfilterfirewall klassifiziert, zumindest solange darauf keine (möglichen) Proxy-Filter installiert werden.

Die Adressfilterung bildet die Grundform sämtlicher weiterer Firewallarten. Filter, die der reinen Filterung von Netzwerkadressen dienen, also Paketfilter, kommen somit auch auf allen anderen Firewalls vor. Diese Firewallarten unterscheiden sich von einem Firewallrouter dadurch, dass sie zumindest auf einem vom Router abweichenden Konzept basieren und dabei neben dem Paketfilter meist eine erweiterte Form der Filterung anbieten (wie Proxy Firewall und Personal Firewall).

Netzwerkadressierung als Grundlage für die Filterung

→ Hauptartikel: MAC-Adresse, IP-Adresse und Port (Protokoll)

Jede Netzwerkkarte hat eine eindeutige abrufbare Seriennummer, welche man MAC-Adresse nennt. Sie setzt sich zusammen aus einer Herstelleridentifikationsnummer und einer angrenzenden laufenden Nummer.

Da diese Nummern eindeutig sind, lassen sie sich für eine sehr simple aber dafür allgemeingültige Art der Adressierung in einem Netz nutzen. Simpel deshalb, weil sich damit zwar beispielsweise ein Computer in einem unverzweigten Netz adressieren lässt, aber in der MAC-Adresse nicht angeben werden kann, für welches Programm des Computers das Netzwerkpaket bestimmt ist. Unverzweigt deshalb, weil die MAC-Adresse aufgrund ihres Aufbaus nicht dafür geeignet ist in weitere Teilbereiche zerlegt zu werden. Eine Zuordnung des Adressaten zu einem bestimmten Subnetz ist also mit der MAC-Adresse nicht möglich.

Anders formuliert lassen sich MAC-Adressen wie Hausnummern nutzen, aber darüber hinaus weder einer Straße, noch einem Bewohner des Hauses zuordnen.

Die Lösung bieten höhere Kommunikationsprotokolle, die über die MAC-Adresse gelegt werden. Ein Netzwerkpaket wird also bildlich gesehen mehrfach verpackt. Auf der äußeren Verpackung befindet sich die gewohnte MAC-Adresse, die beispielsweise das Ethernet benutzt, um das Paket an den Adressaten (wenn er sich innerhalb seiner „Straße“ befindet) oder an eine für den Adressaten zuständige Netzwerkkomponente zu übergeben (die den Übergang zu einer anderen „Straße“, genauer einem anderen Subnetz, verwaltet). Dort wird das Paket ausgepackt, wodurch die darunter liegende Verpackung mit den erweiterten Adressdaten der höheren Protokolle zum Vorschein kommen und ausgewertet werden.

Die Verwendung der MAC-Adresse lässt sich mit dem internen Adressierungsschema einer Poststelle vergleichen, die jedes ihrer Objekte anhand einer Identifikationsnummer verwaltet. Das hat den Vorteil, dass sich der Postbote (Ethernet) lediglich mit diesem einfachen Adressierungsschema auskennen muss. Die höheren Protokolle interessieren ihn nicht. Es ist für ihn beispielsweise irrelevant, für welches Programm des Computers das Paket bestimmt ist. Er muss das Paket schließlich nur dem Computer übergeben. Es liegt nun bei dem Computer, das Paket auszupacken und die dadurch sichtbaren Zusatzinformationen der höheren Protokolle entsprechend auszuwerten. So lässt sich ein und dasselbe Ethernet für die parallele Übertragung von Paketen nutzen, die auf unterschiedliche höhere Adressierungsprotokolle zurückgreifen (wie beispielsweise ein TCP/IP-Netz neben einem IPX/SPX-Netz, die sich die Ethernetinfrastruktur teilen).

Innerhalb eines TCP/IP-Netzes bildet die IP-Adresse das nächst höhere Protokoll, also die nächste Verpackung. Es handelt sich dabei um mehrere Ziffernblöcke, vergleichbar mit einer Hausadresse, die eine Straßennummer und eine Hausnummer enthält (welcher Teil der IP-Adresse sinnbildlich die Straßennummer, genauer die Netzwerk-ID, repräsentiert und welcher Teil die Hausnummer darstellt, genauer die Rechner-ID, wird durch die Subnetzmaske definiert).

In einem solchen Netz bildet das nächst hörere Protokoll, also die Verpackung nach der IP-Adresse, den Port ab. Der Port ist vergleichbar mit einer Raumnummer oder einem Namensschild. Er bestimmt für wen genau „im Haus“ das Paket bestimmt ist (genauer welches Programm das Paket erhalten soll).

All diese „Verpackungen“ kann eine Firewall auswerten und die Netzwerkpakete entsprechend filtern, indem sie anhand eines „wer darf worauf zugreifen“-Regelwerks entscheidet, welche Anfragen zulässig sind und welche nicht.

Die verwendeten OSI-Schichten der Paketfilterung

→ Hauptartikel: OSI-Modell

Das OSI-Schichtenmodell beschreibt die Designgrundlage von Kommunikationsprotokollen in Rechnernetzen. Ein Paketfilter greift nach diesem Schichtenmodell auf die OSI-Schicht 3 (IP-Adresse) und 4 (Port) aus den Header-Informationen eines Netzwerkpaketes zu.

Beispiel für ein Regelwerk

→ Hauptartikel: Firewall-Regelwerk

Bei den folgenden Beispielhaften Filterregeln ist zu beachten, dass nicht inhaltlich nach den genannten Protokollen, sondern den zu dem entsprechenden Netzwerkdienst gehörenden TCP- bzw. UDP-Ports gefiltert wird:

• Aus dem Internet sind zum Mailserver in der DMZ Mail-Dienste (SMTP – TCP-Port 25, POP3 – TCP-Port 110 und IMAP – TCP-Port 143) erlaubt.
• Der Mailserver darf aus der DMZ in das Internet Mails per SMTP verschicken und DNS-Anfragen stellen.
• Aus dem Lokalen Netz sind Administrations-Dienste (SSH, Remote Desktop, Backup – TCP-Port 22) zum Mailserver erlaubt.
• Alle anderen Pakete in oder aus der DMZ werden in eine Logdatei geschrieben und danach verworfen.

Die Filterentscheidungen werden für jedes Paket einzeln und unabhängig getroffen. Diese Art der Filterung ist heutzutage in zahlreichen Routern und Layer-3-Switchen implementiert.

Stateful Inspection

→ Hauptartikel: Stateful Packet Inspection

Mit dieser zustandsgesteuerten Paketfilterung gelingt es allgemeine (dynamische) Regeln zu formulieren, die beispielsweise beliebigen Teilnehmern des internen Netzes einen Zugriff auf bestimmte Netzwerkdienste beliebiger Zielsysteme aus dem externen Netz erlauben. Im Unterschied zu dem zustandslosen Paketfilter werden hier die Parameter einer Verbindungsanfrage von der Firewall interpretiert und die Regel für die Verbindung entsprechend dynamisch konkretisiert. Das bedeutet, dass diese Firewall den Zugriff auf eine solche Verbindung derart einschränkt, dass ausschließlich die beteiligten Kommunikationspartner darauf zugreifen dürfen.

So legt zunächst ein Regelwerk fest, ob ein Kommunikationsaufbau erlaubt ist, oder nicht. Ist er erlaubt, etabliert der Stateful Inspection Paketfilter auf dem Gerät zwei Verbindungen, sobald eine entsprechende Anforderung anliegt: eine hin zum erlaubten Zielsystem und eine zurück zum Quellsystem, wobei lediglich die beteiligten Netzwerkadressen zugriffsberechtigt sind. Damit das Zielsystem nicht jeden beliebigen Port des Quellsystems ansprechen kann, wird zudem der Rückkanal möglichst auf den im Header angegebenen Rückgabeport des Quellsystems beschränkt.

Technisch wird das unter zu Hilfenahme einer Statustabelle realisiert. In ihr werden unter anderem die Daten aus dem Header der Kommunikationsanfrage hinterlegt. Das ermöglicht es der Firewall die Regel für den Rückkanal dynamisch zu erzeugen, abhängig von der Kommunikationsanfrage des Quellsystems. Das macht die sonst weitaus offeneren Regeln eines normalen (zustandslosen) Paketfilters für den Rückkanal überflüssig. Anders formuliert stellt die Statustabelle den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung (Quell- zu Zielsystem) und schränkt deren Zugriff entsprechend ein. Das ist die Grundfunktion, die alle Stateful Inspection Firewalls beherrschen.

Allerdings gibt es Netzwerkprotokolle, die über die Nutzdaten eine zweite Verbindung zwischen den Kommunikationspartnern aushandeln (siehe beispielsweise aktives FTP). Hier genügen die Header-Informationen nicht, um beide Verbindungen präzise zu etablieren. Abhängig vom Firewallprodukt kann das Problem gelöst werden, indem in solchen Fällen entweder den Kommunikationspartnern zumindest zeitweilig ein unpräziser Zugriff (auf eine größeren Portbereich) erlaubt wird oder indem man dem Stateful Inspection Filter eine Einsicht in die Nutzdaten solch problematischer Protokolle ermöglicht (da der Filter das Protokoll kennen muss, gibt es für jedes dieser Protokolle dann einen eigenen Filter). Die Einsicht in die Nutzdaten erlaubt es dem Filter zwar, die Adressfilterung der Pakete weiter zu präzisieren, er ist im Unterschied zu einem Proxyfilter (der ebenfalls in die Pakete hineinsieht) aber nicht in der Lage, die Verbindung selbst zu beeinflussen (er kann die Daten nicht verändern).

Je nach Produkt kann die Stateful Inspction Firewall darüber hinaus nach einem Verbindungsaufbau erkennen, ob und wann der zu schützende PC (genauer der Client) mit dem Zielsystem kommuniziert, wobei die Firewall nur dann Antworten darauf zulässt. Sendet das Zielsystem also Daten, die von dem Client nicht angefordert wurden, so blockiert die Firewall den Transfer selbst nach erfolgter Verbindung zwischen Client und Zielsystem. Das wird dadurch erreicht, dass der Rückkanal nicht dauerhaft etabliert wird, sondern nur bei Anforderung des Clients.

Die Firma Check Point Software Technologies Ltd. gilt als Entwickler der ersten Stateful Inspection Firewall und hat als weitere Besonderheit ihres Produkts die Statustabelle während der gesamten Kommunikation um sämtliche verbindungsrelevante Informationen (wie SYN-Bits, ACK-Bits und Sequenz-Nummern, etc.) aktualisiert. Die Statustabelle wird mit den eingehenden Paketen verglichen, wobei ungültige Pakete verworfen werden.

Abhängig von der Konfiguration des Gerätes, auf dem die Firewallsoftware installiert wurde und dem Firewallprodukt, kann eine Stateful Inspection Firewall unter anderem die folgenden Funktionen bieten:

• Schutz vor SYN-Flooding, z. B. durch SYN-Cookies
• Verwerfen von fehlerhaften Paketen (z. B. widersprüchliche TCP-Flags)
• Schutz vor Ping of Death, Smurf-Attacke, Teardrop-Attacke oder Land-Attacken

OSI-Schichten

→ Hauptartikel: OSI-Modell

Ein Paketfilter, der auf die Technik der Stateful Inspection basiert, greift auf die OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten) eines Netzwerkpaketes zu.

Proxy Firewall (auch Application Layer Firewall)

→ Hauptartikel: Proxy

Die Filter einer Proxy Firewall (auch Application Layer Firewall genannt) beachten zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst typischerweise noch die Nutzdaten, also den Inhalt der Netzwerkpakete. Im Unterschied zur Stateful Inspection Technologie, die abhängig vom Produkt mitunter auch auf die Nutzdaten zugreift, reicht der typische Proxyfilter die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter. Vielmehr baut er selbst eine eigene Verbindung zum Zielsystem auf. Da er stellvertretend für den anfragenden Client mit dem Zielsystem kommuniziert, kann er die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen. So ist er in der Lage, Anfragen auch in Bezug auf den Kommunikationsfluss der Nutzdaten zu filtern und kann entscheiden, welche Antworten des Zielsystems er an den anfragenden Client weiterreicht. Dabei kann er den Paketinhalt beliebig verändern.

Technisch gesehen arbeitet ein solcher Filter als ein in den Verkehr eingreifender Kommunikationspartner auf der OSI-Schicht 7, wobei die Verbindungen auf beiden Seiten terminiert werden (es handelt sich um zwei eigenständige Verbindungen), statt die Netzwerkpakete durchzureichen. Der Filter selbst ist ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt und wird daher auch Proxy-Server genannt: Als aktiver Vermittler verhält er sich dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client. Da er das Kommunikationsprotokoll kennen muss, gibt es für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC, usw.) einen eigenen Filter (man spricht daher auch von dedicated Proxys). Auf einem einzigen Firewallgerät können mehrere dedicated Proxys gleichzeitig laufen. Sie können u. a. unerwünschte Protokolloptionen verbieten, indem sie etwa in einer SMTP-Transaktion kein BDAT, VRFY o. Ä. zulassen.^[18]

Eine Ausnahme bildet der Generische Proxy, auch Circuit Level Proxy genannt. Er findet als protokollunabhängiger Filter auf der Proxy Firewall Anwendung und realisiert dort ein port- und adressbasiertes Filtermodul auf den OSI-Schichten 3 und 4, welches zudem eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt (OSI-Schicht 5). Dabei ist der Filter nicht in der Lage die Kommunikation einzusehen, sie selbst zu führen und zu beeinflussen, da er das Kommunikationsprotokoll nicht kennt.

Entgegen eines populären Missverständnisses besteht die grundlegende Aufgabe einer Application Layer Firewall nicht darin, bestimmten Applikationen (Programmen) den Zugriff zum Netz zu gewähren oder zu verbieten. Der Name Application wurde lediglich aus dem Application Layer der OSI-Schicht 7 abgeleitet, der dafür steht, dass ein entsprechender Filter in die Nutzdaten der Netzwerkpakete hineinsehen kann. Die Aufgabe den Netzwerkzugriff auf Anwendungen zu beschränken, die sich der Firewall gegenüber Authentifiziert haben, fällt (wenn überhaupt) meist dem generischen Proxyfilter zu, also ausgerechnet dem Filter, der den Application Layer nicht einmal nutzt.

Siehe auch: Web Application Firewall

Contentfilter (Inhaltsfilter)

→ Hauptartikel: Contentfilter

Ein Inhaltsfilters (engl.: Contentfilter) ist eine Form der Proxyfilter. Er ist dafür gedacht, Netzwerkpakete bezogen auf ihre Nutzdaten zu filtert. Einsatzgebiete können zum Beispiel sein:

• Herausfiltern von ActiveX und/oder JavaScript aus angeforderten Webseiten
• Blockieren von Viren oder Trojanern in Webseiten
• Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten)
• Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern
• unerwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren

Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist eventuell technisch nicht vollständig umsetzbar. Sollten beispielsweise wirklich vollständig die vertraulichen Informationen aus dem Datenverkehr zu nicht autorisierten Systemen herausgefiltert werden, so müsste erst das technische Problem gelöst werden, wie vertrauliche steganografische oder verschlüsselte Informationen erkannt und gefiltert werden können.

Trotz der in aktuellen Firewallsystemen recht einfach gestalteten Regeln kann deren Ausführung sehr vielschichtig werden: Häufig müssen einzelne Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z. B. Webseiten) als Ganzes erkannt, durchsucht und eventuell verändert werden kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt und weitergeschickt werden.

Grenzen: Durchtunnelung

→ Hauptartikel: Tunnel (Rechnernetz)

Grundsätzlich kann jeder Dienst auf jeder Portnummer funktionieren. Wenn im Regelwerk der TCP-Port 80 für HTTP freigeschaltet ist, kann darüber trotzdem ein anderes Protokoll laufen. Es müssen nur beide Kommunikationspartner (der Client im internen Netz wie auch der Dienst auf dem Server aus dem externen Netz) entsprechend konfiguriert worden sein. Einen Versuch, dies mithilfe der Firewall zu unterbinden, kann mit Application Layer Firewalls erfolgen, die z. B. Verbindungen auf HTTP-Inhalte überprüfen und alles andere blockieren, was über diesen Port gesendet wird. Allerdings soll jedes Protokoll Daten übertragen, weshalb die Daten in diesem Fall lediglich entsprechend konvertiert werden müssen. Bettet die Software die zu übertragenden Daten also in HTTP ein, ohne dabei den Standard des Protokolls zu verletzen, ist auch diese Firewall dagegen machtlos (die Gegenstelle, der Dienst auf dem Server also, muss diese Art der Konvertierung allerdings verstehen). Genau das macht man beim Tunneln. Manipulierte Daten können hier z. B. in Bilddaten verpackte Tunnel-Datenströme sein. Gänzlich unmöglich wird die inhaltliche Überprüfung durch die Firewall bei verschlüsselten Protokollen, wie HTTPS.

Tunnel bieten daher eine Methode, um die Kontrolle einer Firewall zu umgehen. Tunnel werden auch verwendet, um unsichere Netzwerkprotokolle mithilfe eines gesicherten und verschlüsselten Netzwerkprotokolls abhör- und manipulationssicher zu transportieren. Dies kann beispielsweise durch einen SSH- oder OpenVPN-Tunnel innerhalb einer legitim freigeschalteten Verbindung geschehen.

Sowohl OpenVPN als auch viele SSH-Clients (z. B. Putty) sind zudem in der Lage, einen Tunnel über einen HTTP-Proxy aufzubauen, der eigentlich nur Webseiten weiterleiten sollte. Daneben gibt es spezielle Tunnel-Software für Protokolle wie DNS^[19] oder ICMP.

Insbesondere Skype ist ein Beispiel dafür, wie gut sich die meisten Firewalls von innen nach außen umgehen lassen.^[20] Solange die Benutzer aus dem internen Netz die Möglichkeit haben, auf Webseiten zuzugreifen, hat der Firewall-Administrator durch die Verschlüsselung technisch kaum eine Chance, eine Durchtunnelung zu verhindern. Dank Whitelists, die den Zugriff auf bestimmte Server beschränken, können Firewalls das Durchtunneln immerhin stark erschweren. Organisationen erweitern die technischen Maßnahmen mitunter durch organisatorische Sicherheitsmaßnahmen, z. B. ein Verbot der bewussten Tunnelnutzung in der Sicherheitsrichtlinie, die der Mitarbeiter unterzeichnen muss.

Ein transparentes Durchdringen einer Firewall wird auch als Firewall Piercing oder FWPRC bezeichnet.^[21]

Ergänzende Technologien

Intrusion Detection und Intrusion Prevention Systeme

→ Hauptartikel: Intrusion Detection System und Intrusion Prevention System

„Intrusion Detection Systeme“ (IDS) und „Intrusion Prevention Systeme“ (IPS) erkennen einen Einbruchsversuch anhand von Kommunikationsmustern. Der Unterschied ist, dass ein IDS den Angriff nur erkennt (Detection (engl.) = Erkennung) und ein IPS (Prevention (engl.) = Verhinderung) den Angriff zu blockieren versucht. Diese Systeme gehören zwar nicht zum Firewallmodul, können dieses aber ergänzen und werden daher vermehrt in eine Firewalllösung als zusätzliche Funktion aufgenommen.

Allerdings ist das Themenfeld, Angriffe zu erkennen und darauf automatisiert zu reagieren, sehr komplex. Ein unbedachtes Konzept, eine schlechte Implementierung oder eine ungünstige Konfiguration kann unter Umständen erst die Möglichkeit für einen Denial of Service-Angriff schaffen. So legen manche Systeme eine temporäre Firewall-Regel an, die alle weiteren Verbindungsversuche von der vermeintlichen angreifenden IP-Adresse blockieren. Schickt aber nun ein Angreifer Pakete mit einer gefälschten Absender-Adresse an das System, so kann er damit erreichen, dass der Zugriff auf die gefälschte Adresse nicht mehr möglich ist. Wurden hierfür keine Ausnahmen definiert, so kann er nacheinander sämtliche Adressen von dem angegriffenen System abschotten, die dieses für seine Arbeit benötigt (DNS-Server, usw.).

Weitere mögliche Funktionen

Folgende Funktionen können auf einem Firewallgerät noch Anwendung finden:

• Endpunkt für VPN-Verbindungen
• Berücksichtigung von Quality of Service bei der Verarbeitungspriorität
• Channeling / Link Aggregation, um mehrere physikalische Interfaces zu einem schnellen logischen Interface zusammenzufassen, beispielsweise zwei 100 MBit-Interfaces zu 200 MBit.

Siehe auch

• Air Gap

Quellen

1. ↑ Newsletter Bürger CERT, „Manipulierte Webseiten“, ein Beispiel wie der Aufruf einer entsprechend präparierten Webseite Schadcode auf fremde Rechner schleust und startet (hier anhand einer Sicherheitslücke im Adobe Shockwave Player), buerger-cert.de, 11. November 2010
2. ↑ Angriff aus dem Netz, eine Beschreibung eines unerlaubten Fernzugriffs auf ein Computersystem über eine Schadsoftware, die sich über ein als Dokument getarnten E-Mail-Anhang aktiviert, ohne von dem installierten Virenscanner und der Personal Firewall erkannt zu werden; tagesspiegel.de, Harald Schumann, 31. Oktober 2010
3. ↑ Firewall telefoniert nach Hause, Personal Firewall Zone Alarm schickt verschlüsselte Daten an den heimischen Server, Zeitschrift com!, Ausgabe 4/2006, Seite 12
4. ↑ Der quelloffnene IRC-Server UnrealIRCd enthielt von November 2009 bis Juni 2010 einen Backdoor, der es Fremden gestattet, Kommandos mit den Rechten des UnrealRCd-Benutzers auf dem Server auszuführen - Meldung von heise Security, Autor Reiko Kaps, 12. Juni 2010
5. ↑ Am 13. Mai 2008 gab das Debian-Projekt bekannt dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt.
6. ↑ ^{a b} Deconstructing Common Security Myths, von Microsoft TechNet Magazine, Jesper Johansson und Steve Riley, Heft Mai/Juni 2006
7. ↑ ^{a b} ZoneAlarm im Kreuzfeuer, Heise online, Jürgen Schmidt, 24. Januar 2006; Der Spion der aus dem Inneren kam. Warum Personal Firewalls als Detektiv versagen, c't Heft 17, Seite 108-110, Jürgen Schmidt, 7. August 2006; Schutz vor Viren unter Windows Antworten auf die häufigsten Fragen, c't Heft 18, Daniel Bachfeld, Seite 196
8. ↑ Personal Firewalls, Teil2 von copton.net, Alexander Bernauer
9. ↑ Bagle-Würmer deaktivieren Windows Firewall, winfuture.de, Meldung vom 31. Oktober 2004
10. ↑ Personal Firewalls, Teil1 von copton.net, Alexander Bernauer
11. ↑ Kritische Sicherheitslücken in Symantecs Desktop Firewalls (Heise.de, 13. Mai 2004)
12. ↑ Software mit Fehlern und deren Folgen (pdf), Melanie Ulrich; US-Magazin „Wired“; 14. Januar 2007
13. ↑ Wurm Witty dringt über Lücke in Sicherheitsprodukte von ISS ein, von heise.de, Daniel Bachfeld, 22. März 2004
14. ↑ Netzwerkdienste auf einem Windowssystem deaktivieren: win32sec von dingens.org (grafisch), svc2kxp.cmd von ntsvcfg.de (batch)
15. ↑ Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus (Heise.de, 6. Juli 2005)
16. ↑ BSI Grundschutzkataloge: Entwicklung eines Konzepts für Sicherheitsgateways
17. ↑ BSI Grundschutzkataloge: Sicherheitsgateway (Firewall)
18. ↑ BSI Grundschutzkatalog: Geeignete Auswahl eines Application-Level-Gateways
19. ↑ Eine Firewall mit Hilfe eines DNS-Tunnels umgehen
20. ↑ Jürgen Schmidt: Der Lochtrick, Wie Skype & Co. Firewalls umgehen In: c’t 17/06, Seite 142
21. ↑ Methoden zur Umgehung einer Firewall

Literatur

• Konzeption von Sicherheitsgateways, Bundesanzeiger, ISBN 978-3-89817-525-8.
• Lessig, Andreas: Linux Firewalls- Ein praktischer Einstieg, O’Reilly, 2006, ISBN 978-3-89721-446-0.
• Artymiak, Jacek: Building Firewalls with OpenBSD and PF, 2nd ed. devGuide.net, Lublin, 2003, ISBN 83-916651-1-9.
• Barth, Wolfgang: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux. Millin-Verl., Poing, 2004, ISBN 3-89990-128-2.
• Lessing, Andreas: Linux-Firewalls – Ein praktischer Einstieg 2. Auflage, O’Reilly, 2006, ISBN 3-89721-446-6 (Download der LaTeX-Quellen).
• Cheswick, William R. u. a.: Firewalls and internet security. Repelling the Wily Hacker. Addison-Wesley, Boston, Mass., 2003, ISBN 0-201-63466-X.
• Strobel, Stefan: Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X.
• RFC 2979 Behavior of and Requirements for Internet Firewalls.

Weblinks

Wiktionary: Firewall – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

• Eine Checkliste des Landesbeauftragten für den Datenschutz Niedersachsen kann als allgemeine Orientierungsgrundlage für ein Sicherheitskonzept dienen
• Eine BSI Firewall Studie aus dem Jahr 2001 zeigt den direkten Vergleich von sechs Hardwarefirewalls
• Ein Fachartikel auf SearchSecurity.de gibt Entscheidungshilfen für den Einsatz von Firewalls
• Ein Vergleich zwischen Personal- und Hardwarefirewall sowie detaillierte Erklärungen zum Thema Firewall finden sich im Habo-WiKi