Was ist eine Firewall?
Eine Firewall ist ein Gerät, das sämtlichen Datenverkehr prüft, der aus einem Firmennetz ins Internet geht und umgekehrt aus dem Internet in die Firma kommt. Sie dient vor allem zum Schutz vor Angriffen von außen und zum Verteilen und Überwachen der Internet-Datenströme insgesamt. Wichtig ist, dass die Firewall den einzigen Datenweg zur Außenwelt darstellt, denn jeder Netzwerk-PC mit einer separaten Modemverbindung ins Internet würde ein schwer zu kontrollierendes Schlupfloch für Angriffe oder unerwünschten Datenverkehr darstellen.
In kleineren Netzwerken lässt die Firewall jeden Datenverkehr von innen nach außen passieren; von außen nach innen werden nur die Datenpakete zugelassen, die als Antwortpakete auf eine Anfrage von innen (zum Beispiel von einem Webbrowser) zurückkommen; sämtliche anderen Datenpakete werden verworfen.
Eine Firewall kann darüber hinaus noch weitere Aufgaben erfüllen:
- Als Router übersetzt sie die privaten IP-Adressen des lokalen Netzwerks (LAN, Intranet) in die “echten” Internet-IP-Adresse, die Ihnen oben auf dieser Website angezeigt wird. Außerdem leitet sie bestimmte Dienste (Mail, FTP usw.) auf die entsprechenden Server im LAN um.
- Überprüfung des Datenverkehrs auf Viren und andere Schädlinge.
- Schutz und Zugangsbeschränkung von innen, denn möglicherweise sollen nicht alle PCs oder Benutzer im Internet alles machen dürfen.
- Gerechte Lastverteilung und Priorisierung zwischen den verschiedenen Diensten. Beispielsweise kann für IP-Telefonie oder Fernzugriff eine bestimmte Mindestbandbreite garantiert werden, damit niemand mit einem großen Download diese Dienste blockiert.
- Kontrolle und Protokollierung des Internetverkehrs, sei es zum Zweck der internen Abrechnung, der Qualitätskontrolle oder der Mitarbeiterüberwachung.
- VPN-Tunnel für den gesicherten, verschlüsselten Zugang zu Filialen oder zu Außendienstmitarbeitern und Heimarbeitsplätzen.
- Kann als http Proxy einen Cache oder Zwischenspeicher für die Web-Anfragen der Mitarbeiter bereitstellen, was früher vor allem zur Steigerung der Performance eingesetzt wurde, heute eher der zusätzlichen Sicherheit dient.
Jeder DSL-Router ist auch gleichzeitig eine einfache Firewall, die immer zumindest über minimale Sperrfunktionen verfügt. In der Praxis ist eine Firewall ein kleiner Kasten mit einem Netzwerkanschluss für innen (trusted side) und genau einem für außen (untrusted side), was im Notfall selbst für den Laien die einfache Unterbrechung der Verbindung ins Internet erlauben würde, oder zumindest das gute Gefühl vermittelt, es tun zu können. Ob in diesem Kasten ein spezialisierter Prozessor werkelt (Appliance) oder es sich um einen PC mit einer Linux-Firewall handelt sei an dieser Stelle dahingestellt; wichtig ist, dass die Funktion und Konfiguration dieser Blackbox ausschließlich über einen passwortgeschützten Zugang verändert werden kann.
Eine Firewall kann auch als Softwarepaket auf dem eigenen PC oder einem Fileserver installiert sein. Bekannteste Vertreter sind Zone Alarm und die in Windows XP ab dem Service Pack 2 enthaltene Microsoft Firewall. Vorteile einer softwarebasierenden Firewall sind unter anderem:
- Flexibilität und leichtere Integration mit anderer Software
- Auf dem eigenen PC installiert, kann die Verwendung eines freigeschalteter Ports auf ein bestimmtes Programm beschränkt werden, was die Sicherheit weiter erhöht. Die Windows XP SP2 Firewall nutzt diese Technik.
Aus technischer Sicht können softwarebasierende Firewalls ebenso leistungsfähig sein wie Hardware-basierende Systeme. Aus sicherheitstechnischer Sicht gibt es allerdings einige Aspekte, die ihre Wirksamkeit grundsätzlich in Frage stellen:
- Die Komplexität der Materie ist für den Laien nicht nachvollziehbar, daher dürfte das im Laufe der Zeit erreichte Sicherheitsniveau weitgehend zufallsbedingt sein, denn der Benutzer kann die gut gemeinten Fragen der Firewallsoftware zum Freigeben bestimmter Dienste in ihrer Tragweite nicht überblicken und werten.
- Eine Software-Firewall auf dem eigenen PC oder Fileserver ist gegenüber Schädlingen oder Angreifern von innen nur unwesentlich geschützt. Das ist kein technischer Mangel sondern ein prinzipieller Zielkonflikt, denn solange Sie selbst, Ihr Administrator oder eine neue Version irgendeiner Software etwas an den Einstellungen verändern dürfen, kann es ein Virus ebenso.
- Falls der Benutzer die Firewall abschalten kann, wird er dies gelegentlich tun, und sei es nur um zu sehen, ob dann das Programm xy endlich läuft. Seit Sasser genügt aber m schlimmsten Fall bereits eine Sekunde ungeschützer Internetvebindung, um sich einen Schädling einzufangen.
- Jeder durchschnittliche PC stürzt gelegentlich ab, nicht nur durch Fehlbedienung, sondern weil sich die Umgebung permanent ändert: neue Patches und neue Programme werden installiert und die vom Benutzer gewählte Kombinationen von gestarteten Programmen ist nicht vorhersehbar. Eine Firewall ist gegen solche Instabilitäten nicht gefeit: Ihre Funktion kann nicht stabiler sein als die darunterliegende Plattform des Betriebssystems.
- Seit große Anbieter, wie Symantec oder McAfee, ihre Virenscanner-Suites für Privatanwender um Firewallfunktionen erweitert haben, finden sich auf immer mehr Privat-PCs unbeabsichtigte, gleichzeitige Installationen mehrerer Firewalls, teilweise als Demoversionen, die nicht nur die Stabilität und Geschwindigkeit beeinträchtigen, sondern in ihrem Zusammenspiel den PC komplett lahmlegen können. Dieses aggressive Abladen von Softwaremüll auf den Rechnern von unbedarften Computerbenutzern unter Ausnutzung ihrer Angst vor Virenbefall kann nicht anders als zynisch bezeichnet werden.
Trotz dieser erheblichen Nachteile einer Software-Firewall gibt es für ein Notebook, das unterwegs über ein Modem oder eine ISDN-Karte mit dem Internet verbunden ist, kaum eine praktikable Alternative. Man sollte sich jedoch immer klar darüber sein, dass es sich um nichts mehr als eine Notlösung handelt.
Größere Firewalls haben noch einen weiteren Anschluss, die so genannte Demilitarized Zone (DMZ). Das ist ein physisch separater Bereich, in dem halböffentliche Geräte, wie Webserver, Email- oder FTP-Server aufgestellt werden, die zwar vor dem Internet geschützt werden müssen, jedoch im Falle ihrer Überwindung durch Angreifer immer noch jenseits des geschützten Intranets liegen.
In großen Firmen werden noch weitere Zonen für den Wireless-Zugang von Notebooks, Tablets und Smartphones vorgesehen, die wegen ihrer Mobilität einen wunden Punkt in jedem Sicherheitskonzept darstellen.
Welche weiteren Maßnahmen für ein sicheres Netzwerk nötig sind, erfahren Sie im Kapitel IT-Sicherheit.
|