Basierend auf dem Originalartikel: Firewall – Realität vs Mythos (elmar-dott.com)
Firewall – Realität vs Mythos
Die Feuerwand (engl. Firewall), war zu Zeiten des Zirkus und der Schausteller immer ein spektakuläres Ereignis. Menschen oder Tiere sprangen hindurch und wurden von der Menge bejubelt. So pathetisch eine solche Vorführung auch immer auf die Zuschauer wirkte, so kalkulierbar war das Spektakel für den Akrobaten. Denn wir wissen, dass Feuer eines der gewaltigsten Urelemente ist, das durch die Menschheit bezwungen wurde.
In der Cybersecurity ist die Firewall einer der elementarsten Schutzmechanismen für vernetzte Computersysteme. Das gilt sowohl für den Heimcomputer, als auch für den Großrechner im Rechenzentrum. Allerdings ist die Vorstellung, einen oder mehrere Feuerringe um den Computer zu entzünden, eher vergleichbar mit einem Zirkusspektakel, das gern melodramatisch in Kinofilmen aufgegriffen wird. Aussagen wie „Die erste Firewall ist gefallen und die zweite bereits zu 70 % überwunden", sind perfekt für die Leinwand, haben mit der Realität aber nichts gemein.
Bevor wir in die Details gehen, betrachten wir kurz, wie Computersysteme miteinander zu einem Netzwerk verbunden werden. Das entscheidende Detail, welches wir benötigen, lautet IP Adresse. Allgemein ausgedrückt ist die IP Adresse die Telefonnummer des Computers beziehungsweise des Gerätes im Netzwerk. Damit man sich also mit einem anderen Computer verbinden kann, muss man dessen IP-Adresse kennen. Analog wie beim Telefon und der Telefonnummer. Wenn die Verbindung dann steht, kann man Informationen, also Daten, zwischen diesen beiden Geräten austauschen. Diese Informationen werden von den verschiedenen Internetprotokollen in kleine, handhabbare Pakete zerlegt. Ein Protokoll ist eine festgelegte Ablaufsteuerung, an die sich alle Teilnehmer halten müssen. Das lässt sich problemlos mit dem Versenden eines Briefes oder Päckchens mit der Post vergleichen.
- Schreibe den Brief
- Packe den Brief in einen Umschlag und klebe den Umschlag zu.
- Schreibe die Empfängeradresse auf die Vorderseite des Umschlages.
- Schreibe den Absender auf die Rückseite des Umschlages.
- Klebe eine ausreichende Briefmarke auf den Umschlag und werfe ihn in den Briefkasten.
Ohne zu wissen wie die internen Abläufe der Post sind können wir davon ausgehen, dass der Brief beim Empfänger ankommt, wenn wir das Protokoll korrekt einhalten. Genauso verhält es sich mit dem Internet. Je nach der Art der Daten wählt der Computer ein geeignetes Programm aus, welches das zu verwendende Protokoll für uns umsetzt. Basierend auf dem Internet Protokoll (IP) welches die Verbindung zwischen Computern für uns regelt, gibt es weitere Protokolle, die sich um die Daten kümmern. Bekannte Protokolle sind HTTP(s) für Internetseiten oder FTP, um Dateien zu versenden.
Netzwerk-Grundbegriffe
Ein Netzwerk verbindet Geräte über IP-Adressen, Ports und Protokolle wie TCP oder UDP. Datenverkehr kann eingehend (zu uns), ausgehend (von uns) oder intern (zwischen unseren Geräten) stattfinden. Firewalls arbeiten dabei mit Regeln, die genau festlegen, was erlaubt ist und was nicht. Klassisch unterscheidet man zwischen Schutzfunktionen (blockieren), Überwachung (erkennen) und Analyse (verstehen).
Die Kernaufgabe einer Firewall ist es, jeden Datenfluss nach vordefinierten Regeln zu prüfen und zu entscheiden, ob Pakete durchgelassen, abgewiesen oder protokolliert werden sollen. Moderne Firewalls bieten zusätzlich oft Funktionen wie Analyse oder Logging.
Kommen wir nun zum eigentlichen Thema. Was also ist eine Firewall überhaupt und wozu wird sie verwendet? Stellen wir uns am besten einen sehr langen Flur vor mit unzählig vielen Türen, genauer gesagt 65.536 Türen. Diese Türen kann man nach innen oder außen öffnen. Wir können also aus dem Flur nach außen (outgoing Traffic) gelangen oder von außen in den Flur hinein (incoming Traffic).
Diese Türen nennt man in Fachchinesisch Ports, die eine festdefinierte Nummer haben. Installiert man nun auf dem Rechner spezielle Programme, die mit anderen Computern kommunizieren können, wird dieses Programm üblicherweise fest an solch einen Port gebunden. Dazu ein kleines Beispiel. Lange vor WhatsApp und Co. gab es den Internet Relay Chat, kurz IRC. Hat man auf seinem Computer den IRC installiert, so hat sich dieser hinter der Tür 194 verborgen. Eine wichtige Eigenschaft zu Ports ist auch, dass, wenn bereits ein Programm an einen Port gebunden ist, kein anderes Programm diesen Port benutzen kann.
Mit einer Firewall kann man nun diese Türen in das Internet und aus dem Internet sehr gezielt blockieren. Grundsätzlich bestehen vier verschiedene Optionen für eine Tür zur Auswahl:
- Vollständig blockiert,
- Eingang blockiert,
- Ausgang blockiert und
- Vollständig offen.
Greifen wir dazu wieder unser Beispiel IRC auf. Ist die Tür vollständig blockiert, können wir keine Nachrichten senden oder empfangen, obwohl sich das Programm auf unserem Computer starten lässt. Es kann also keine Verbindung in das Netzwerk aufbauen. Ist der Eingang blockiert, können wir keine Nachrichten empfangen, aber senden. Ist der Ausgang blockiert, empfangen wir Nachrichten, können aber selbst keine senden. Die letzte Option hat keinerlei Einschränkungen.
Paketfilter: Die Basis jeder Firewall
Vorteil: Das läuft sehr effizient. Nachteil: Er kennt den Inhalt der Pakete nicht und kann komplexe Angriffe oft nicht erkennen.
Zustandsbehaftete Filterung: Der nächste Schritt
Moderne Firewalls arbeiten „zustandsbehaftet" (stateful). Sie merken sich nicht nur einzelne Pakete, sondern den gesamten Kontext einer Verbindung. So erkennt die Firewall, ob ein Paket zu einer bereits erlaubten Sitzung gehört oder ein ungebetener „Rückruf" ist. Das bringt eine deutlich erhöhte Sicherheit zum reinen Paketfilter.
Das größte Problem bei der Benutzung von Firewalls ist, dass diese oft nicht korrekt eingestellt (konfiguriert) sind. Hier unterscheiden wir zwei Möglichkeiten. Die verbreitetste Variante nennt sich Blacklist und reguliert nur die in der Liste angegebenen Ports. Wenn wir uns überlegen, dass es 65.536 Ports gibt, kann das eine sehr lange und unübersichtliche Liste werden. Das Risiko, etwas zu vergessen, ist hier sehr hoch. Der Vorteil dieser Option ist, dass sie sehr robust für unerfahrene Nutzer ist. Die andere Option ist die sogenannte Whitelist. Die funktioniert exakt entgegengesetzt der Blacklist. Per se sind nun erst einmal alle Ports geschlossen und der Nutzer muss explizit angeben, welche Ports geöffnet werden dürfen. Wie man sich jetzt leicht vorstellen kann, erfordert der Betriebsmodus Whitelist einiges an Erfahrung des Nutzers. Man muss wissen, welcher Port zu welchem Programm gehört und wie man diese Regeln in der Firewall einträgt.
Wie wir sehen, ist die Vorstellung, einen Feuerring um den Computer zu ziehen, keine geeignete Vorstellung davon, wie eine Firewall funktioniert. Wenn die Tür, also auf dem Computer, einmal blockiert ist, macht es auch wenig Sinn, noch eine andere Firewall auf dem Computer zu installieren. In diesem Fall gilt der Spruch „Doppelt hält besser" nicht.
Angriffe auf Firewalls sind üblicherweise das Suchen nach offenen Türen, in die man dann eindringt. Dazu bedient man sich sogenannter Portscanner. Wer einmal einen solchen Portscanner ausprobieren möchte, darf das nicht so ohne Weiteres tun. Denn die Suche nach offenen Ports auf fremden Computern ist in Deutschland und vielen anderen Teilen der Welt bereits strafbar.
Ein anderes sehr fortgeschrittenes Angriffsszenario ist eine Attacke auf das Firewallprogramm selbst. Hier versucht man, mögliche vorhandene Programmierfehler der Firewall zu finden und auszunutzen.
IDS: Der Wächter beobachtet
Ein „Intrusion Detection System" (IDS) ist ein Beobachter. Es analysiert den Datenverkehr nach bekannten Angriffsmustern, Auffälligkeiten oder Abweichungen vom Normalverhalten. Erkennt es etwas, wird es protokolliert und gemeldet, nicht aber blockiert. Man könnte sagen, das IDS ist das Auge des Netzwerks.
IPS: Der Wächter schlägt zu
Das „Intrusion Prevention System" (IPS) geht hier weiter: Es erkennt wie das IDS, greift aber aktiv ein und blockiert verdächtigen Verkehr sofort. Besonders effektiv ist das bei bekannten Angriffen, allerdings können hier auch Fehlalarme legitime Nutzer blocken. Die Konfiguration eines funktionsfähigen IPS muss darum sorgfältig vorgenommen werden und ist ein nicht zu unterschätzender Aufwand.
Deep Packet Inspection: Das Paketinnere
„Deep Packet Inspection" (DPI) schaut über die Kopfzeilen hinaus, direkt in den Inhalt der Pakete. So lassen sich verschlüsselte Angriffe, Malware oder ungewöhnliche Muster erkennen. Das ist sehr leistungsfähig, braucht aber viel Rechenleistung und wirft Datenschutzfragen auf.
Firewalls gibt es für jedes Betriebssystem in den verschiedensten Variationen. In professionellen Netzwerkgeräten wie Routern und Switches können bereits auch Firewalls integriert sein. Hier agiert der Router als Netzwerkcomputer und schützt alle an den Router angeschlossenen Geräte. Bevor man sich für ein konkretes Programm entscheidet, sollte man in Erfahrung bringen, dass es möglichst leicht zu bedienen ist und von einem seriösen Hersteller kommt.
Verschlüsselung & Rate Limiting
„TLS" (ehemals SSL) und Zertifikate schützen die Vertraulichkeit von Verbindungen. Firewalls prüfen zwar, ob TLS korrekt eingesetzt wird, können aber den verschlüsselten Inhalt nicht lesen. Verschlüsselung und Firewall ergänzen sich: Die eine schützt den Inhalt, die andere den Verkehrsfluss.
Rate Limiting: Schutz vor Überlastung„Rate Limiting" begrenzt Anfragen pro Zeiteinheit, was gegen Bots, Login-Brute-Forcing oder DDoS-Attacken wirkt. Anstatt alles zu blocken, lässt es „normalen" Datenverkehr durch, bremst aber verdächtige Massenabfragen.
Liste (unvollständig) der bekanntesten Standardports:
| Portnummer | Servicename | Beschreibung |
|---|---|---|
| 21 | FTP | File Transfer Protocol |
| 22 | SSH-SCP | Secure Shell |
| 23 | Telnet | Telnet protocol |
| 25 | SMTP | Simple Mail Transfer Protocol |
| 53 | DNS | Domain Name System |
| 80 | HTTP | Hypertext Transfer Protocol (HTTP) |
| 110 | POP3 | Post Office Protocol v. 3 |
| 143 | IMAP4 | Internet Message Access Protocol v. 4 |
| 443 | HTTP over SSL | Hypertext Transfer Protocol Secure (HTTPS) |
| 465 | SMTP over TLS/SSL, SSM | Authenticated SMTP over TLS/SSL (SMTPS) |
| 587 | SMTP | Email message submission |
| 993 | IMAP4 over SSL | Internet Message Access Protocol |
| 995 | POP3 over SSL | Post Office Protocol 3 |
| 1194 | OpenVPN | OpenVPN |
| 1725 | Steam | Valve Steam Client uses port 1725 |
| 2967 | Symantec AV | Symantec System Center |
| 3074 | XBOX Live | Xbox LIVE and Games for Windows |
| 3306 | MySQL | MySQL database system |
| 3724 | World of Warcraft | Some Blizzard games |
Erweiterte Sicherheitskonzepte
Simulieren Sie einen Angriff in unserem Spiel Firewall Assault
Auf diese Weise können sie den Angreifer analysieren: Wie arbeitet er? Welche Tools nutzt er? Neue Angriffsmuster können so früh erkannt werden.
Netzwerksegmentierung: Divide et impera„Segmentierung" teilt Netzwerke in Zonen auf, oft mit VLANs, DMZs oder Zero-Trust-Konzepten. Ein Angreifer, der einen Bereich knackt, kommt nicht automatisch überall hin. Segmentierung ist essenziell, um laterale Angriffe (Ausbreitung im Netz) zu stoppen.
Automatisierte Reaktionen: SofortmaßnahmenModerne Systeme reagieren automatisch: Dynamische Blacklists, IP-Sperren oder Session-Beendigungen bei Auffälligkeiten. Besonders effektiv in Kombination mit IDS/IPS. Die Kunst liegt darin, schnell genug zu reagieren, ohne legitime Nutzer zu behindern.
Fazit
Firewalls sind unverzichtbar, aber nie die komplette Lösung. Moderne Netzwerksicherheit kombiniert Filterung, Erkennung, Verschlüsselung, Drosselung und Segmentierung. Der beste Schutz entsteht, wenn alle Bausteine zusammenarbeiten und wenn Administratoren die Balance zwischen Sicherheit und Benutzbarkeit finden.