Eine Firewall ist ein unverzichtbarer Begleiter, wenn man in den Weiten des World Wide Web unterwegs ist. Wir erklären im Folgenden die Basics und Besonderheiten.

Firewall: eine Definition

Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt – ungeachtet dessen, ob es On-Prem oder in der Cloud liegt. Weiter gefasst ist eine Firewall auch ein Teilaspekt eines Sicherheitskonzepts.

Jedes Firewall-Sicherungssystem basiert auf einer Softwarekomponente. Diese dient dazu, den Netzwerkzugriff im Hinblick auf Absender, Ziel und genutzten Diensten zu beschränken.

Firewall-Software überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder eben nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden.

 

So unterscheiden sich Personal Firewall und Netzwerk Firewall

Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen einer Personal Firewall (Desktop Firewall) und einer externen Firewall (Netzwerk- oder Hardware-Firewall). In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern auf einem separaten Gerät, das Netzwerke oder Netzsegmente miteinander verbindet und durch die Software gleichzeitig den Zugriff zwischen den Netzen beschränkt. In diesem Fall kann Firewall auch als Bezeichnung für das Gesamtsystem stehen.

Bauartbedingt gibt es große konzeptionelle Unterschiede zwischen den beiden Arten. Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen: Sie soll ausschließlich Regeln für die Netzwerkkommunikation umsetzen. Für das Aufspüren von Angriffen sind wiederum sogenannte AntiVirus, Anti Maleware, Cloud-Analysing, IPS/IDS-Module usw. zuständig, die durchaus aber auf einer Firewall aufsetzen und Bestandteil des Produkts sein können.

 

Die Filtertechniken einer Firewall im Überblick:

Generelle Funktionen einer Firewall auf dem heutigen Stand, auch NG genannt für Next Generation, sind:

Paketfilter

Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls. In einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint.

 

Stateful Packet Inspection

Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung. Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.

 

Proxyfilter

Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet dessen Antwort an den tatsächlichen Client weiter. Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen. Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann der Proxyfilter so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen.

Der Proxyfilter kann aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter kann er bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen. Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.

 

Contentfilter

Der Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern, oder allgemein bekannte Schadsoftware beim Herunterladen zu blockieren. Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnlichem fällt darunter.

 

Deep Packet Inspection

Mittels Deep Packet Inspection können weitergehende, insbesondere protokollspezifische Informationen analysiert werden. Dadurch wird es möglich, Regeln zu verwenden, basierend auf URLs, Dateinamen, Dateiinhalten (Virenscan oder Data Loss Prevention) etc. Dies ähnelt den Möglichkeiten eines Proxys oder eines Contentfilters, deckt in der Regel aber zahlreiche Protokolle ab.

Um auch verschlüsselte Verbindungsdaten und Inhalte analysieren zu können, wird SSL Deep Packet Inspection eingesetzt; dieser terminiert eine bestehende SSL-Verschlüsselung, untersucht die Inhalte und verschlüsselt sie anschließend für den Client wieder neu. Dazu ist es in der Regel notwendig, auf dem Client ein CA-Root-Zertifikat zu installieren, welches es der Firewall erlaubt, im laufenden Betrieb passende Zertifikate selbst zu generieren. Technisch entspricht dies einem Man-in-the-Middle-Angriff.

 

Sichtbarkeit für Anwender – Network Address Translation

Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden. Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Formen nur auf einer externen Firewall vorkommen können.

Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem. Hier bittet der Client die Proxy-Firewall, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen. Auf diese Weise wird beispielsweise der Webbrowser so konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur jeweiligen Zieladresse schickt, sondern als Anforderung zum Proxy sendet. Der Proxy nimmt nun die Verbindung zum Zielsystem auf. Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.

 

Folgende Funktionen können auf einer Firewall noch Anwendung finden:

  • VPN-Verbindungen
  • Quality of Service
  • User Quotas
  • Port-Channel
  • VLAN Support