Vom Türsteher zum Security-Spezialisten

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Firewalls gehören heute zu den wichtigsten Tools zum Schutz von Unternehmensnetzen. Doch mit dem Kauf allein ist es nicht getan, die Technik will an ihren Einsatzzweck angepasst und gepflegt sein.

Wie wichtig Firewalls heute sind, verdeutlicht ein Beispiel: Seit Oktober 2008 müssen sich Banken, Online-Händler und alle Unternehmen, die mit Kreditkarten-Transaktionen arbeiten, an die neuen Sicherheitsrichtlinien (Payment Card Industry Data Security Standard) der Kreditkartenindustrie halten. Und diese sehen unter anderem die verbindliche Installation und Pflege einer Web Application Firewall vor.

Obiges Beispiel ist deshalb so schön, weil es die beiden zentralen Firewall-Aspekte aufzeigt:

Heutige Firewalls müssen mehr leisten, als nur ein Netz vom öffentlichen Internet zu trennen. Sie haben auch Applikationen zu schützen.

Mit der Anschaffung einer Firewall ist es nicht getan, die Produkte wollen auch gepflegt werden, wenn sie ihre Schutzwirkung entfalten sollen.

Oder anders formuliert, Sicherheit ist keine Lösung, die per Firewall erkauft werden kann, sondern vielmehr ein fortlaufender Prozess. Dieser beginnt bereits damit, dass man sich vor einer Kaufentscheidung die verschiedenen Bedrohungsszenarien verdeutlichen und die angestrebten Sicherheitsziele definieren sollte. Herrscht über beides Klarheit, fällt später die Auswahl des passenden Firewall-Typs leichter.

Der Klassiker unter den Angriffsmethoden nimmt den TCP/IP-Stack als solchen unter Beschuss. Gerade die Implementierungen in älteren Betriebssystemen oder Hardware weisen bekannte Fehler auf. Weitere Verbesserungen auf Protokoll- und Stack-Ebene sind mit IPv6 in Sicht. Immer noch sehr beliebt sind DoS-Attacken (Denial of Service) wie Syn-Flooding, obwohl diese durch sorgfältige Programmierung der Firewall-Software und Definition von Time-out-Parametern eigentlich unterbunden werden können. Ein weiteres beliebtes Einfallstor sind offene Ports. Eigentlich sollten alle nicht benötigten Ports geschlossen werden, dies gilt besonders für die unpriviligierten Ports oberhalb der Port-Nummer 1024. Wesentlich gefährlicher sind heute aber zwei andere Angriffsmethoden:

- Buffer Overflows,

- Angriffe auf Applikationsebene.

Buffer Overflows zählen mittlerweile fast zu den gefährlichsten Bedrohungen, zumal sie nicht auf ein Betriebssystem, eine Anwendung oder einen Netzdienst beschränkt sind. Vereinfacht ausgedrückt basieren sie auf fehlerhaften Datenübergaben, wenn etwa die Parameterlänge nicht korrekt abgefragt wird. Bei entsprechend nachlässiger Programmierung könnte bereits die Eingabe eines zu langen Passworts zum Buffer Overflow führen. Wegen der immer komplexer werdenden Anwendungssoftware steigt die Gefahr, dass sich in Tausenden von Zeilen ein Fehler verbirgt. Deshalb gilt es besonders Firewall-Programmmodule möglichst kurz zu halten, um diese Fehlerquelle zu vermeiden.

Steigender Beliebtheit erfreuen sich auch Angriffe auf Applikationsebene. Die unschuldig wirkende Weihnachtsmann-animation sammelt im Hintergrund dann Daten über das Netz zur Vorbereitung späterer Angriffe. Unerwünschte und als gefährlich geltende Anwendungen (etwa IRC oder Filesharing) tarnen sich zudem immer häufiger, indem sie die Ports von unverdächtigen Anwendungen (etwa den für http üblichen Port 80) nutzen.

Vor dem Hintergrund dieser Angriffs-szenarien ergeben sich die Anforderungen an eine moderne Firewall fast von selbst. Sie trennt nicht nur das interne Netz vom externen Internet - übrigens eignet sich eine Firewall auch dazu, intern unterschiedliche Abteilungen (etwa Finance von der Entwicklungsabteilung) zu separieren - , sondern untersucht den Datenverkehr auf schädliche Inhalte und blockt zudem den Verkehr aus unerwünschten Quellen ab. Weil sich dies nicht mit einer Technologie alleine realisieren lässt, sind Firewalls heute in der Regel hybrid aufgebaut - eine Appliance verwendet also mehrere Verfahren.

Die Kombination machts

Oder anders ausgedrückt, eine Firewall besteht aus einer Kombination von Hardware, passendem Betriebssystem (meist Linux), das gegen die genannten Angriffsmuster gehärtet sein sollte, sowie einer Kombination aus verschiedener Software (Daemons) zur Durchsetzung der angestrebten Sicherheitsregeln. Diese Software kann entsprechend ihren Aufgaben verschiedenen Typen zugeordnet werden.

Firewall-Typen

In der Praxis haben sich folgende Unterscheidungsmerkmale für Firewalls etabliert:

  • Paket(-IP-)filter,

  • Stateful Packet Inspection,

  • Inhaltsfilter (Content-Filter),

  • Application Layer Firewall (Proxy Firewall, Application Gateway),

  • Circuit Level Gateway,

  • Network Adress Translation (NAT),

  • Sonderfall: Personal Firewall.

Der Paketfilter dürfte wohl das älteste und einfachste Firewall-Konzept sein. Heute gehört dieses Verfahren bereits bei Einstiegs-Routern zur Standardausstattung. Dabei werden die IP-Header auf ihre Quell- und Zieladresse sowie die Port-Nummern überprüft (Layer 3 bis 4). Sind diese in der Liste der Firewall hinterlegt, können die Pakete passieren. Der eigentliche Inhalt eines IP-Pakets bleibt unangetastet, eventueller Schadcode also unentdeckt.

Bereits ausgefuchster und sicherer ist die Stateful Packet Inspection. Im Gegensatz zum Paketfilter inspiziert sie den Verkehr auch kurz auf der Schicht 7 des OSI-Modells. Damit ist sie in der Lage, eine Verbindung beziehungsweise Session zu erkennen. Auf diese Weise können Anwendungen beziehungsweise komplizierte Protokolle (etwa ftp mit seinen unterschiedlichen Port-Nummern) durch die Firewall kommunizieren, wenn sie freigegeben wurden. Umgekehrt blockiert die Firewall den Verkehr, wenn das Zielsystem unaufgefordert Daten sendet, selbst wenn eine Verbindung zwischen Client und Zielsystem aktiv ist. Allerdings gilt auch hier, dass die Nutzlast der Pakete selbst nicht analysiert wird.

Weit verbreitet sind heute auch Content-Filter als Schutzmaßnahme. Mit ihrer Hilfe lassen sich etwa ActiveX oder Javascript herausfiltern sowie Viren oder Trojaner in Web-Seiten blockieren. Ebenso wäre es möglich, unerwünschte Anwendungsprotokolle (Filesharing, Musik- und Video-Streaming, Instant Messaging beziehungsweise Chat) zu blockieren. Ferner lässt sich der Zugriff auf Web-Seiten anhand von Schlüsselwörtern (etwa "Sex") sperren. Auf den ersten Blick verspricht dieser Ansatz viel, doch in der Praxis offenbaren sich einige Fallstricke. Mit dem pauschalen Verbot von ActiveX oder Javascript funktioniert nämlich auch die eine oder andere gewünschte Web-Anwendung nicht mehr. Und in Sachen Anwendungsprotokolle haben viele Programmierer bereits reagiert und bieten die Option, für ihre Anwendungen auch andere Ports (etwa Port 80 für http) zu nutzen, um so eine Blockade ihrer Applikationen zu verhindern. Und last, but not least erfordert ein Content-Filter ständige Pflege, wenn er aktuelle Schadmuster erkennen und die Liste der unerwünschten Web-Seiten aktuell sein soll. Wird das Konzept in der Praxis wirkungsvoll umgesetzt, so steigt zudem der Aufwand recht schnell, da aus einfachen Regeln sehr schnell komplexe Strukturen entstehen, die etliche Rechen-Power in der Firewall erfordern.

Immense Rechenleistung erfordert auch die Application Firewall. Anders als der Name suggeriert, ist ihre Aufgabe nicht primär, bestimmten Applikationen den Zugriff auf ein Netz zu gewähren. Vielmehr analysiert sie zusätzlich zu den Verkehrsdaten den Inhalt der einzelnen Datenpakete auf der Netzebene 7, dem Application Layer, etwa auf Malware. Ähnlich einem Virenscanner kann eine Application Firewall ihren vollen Schutz nur dann geben, wenn die hinterlegten Filterlisten ständig gepflegt und aktualisiert werden. Und dieser Service kann ins Geld gehen. Deshalb sollten bei einer Kaufentscheidung unbedingt die Wartungskosten berücksichtigt werden, denn ohne Aktualisierung nutzt selbst die beste Application Firewall bald nichts mehr.

Fragwürdiger NAT-Schutz

Indirekten Schutz für oder vor Programmen offeriert ein Circuit Level Gateway, das häufig in Verbindung mit einer Application Firewall eingesetzt wird. Es überwacht zwar nicht den Inhalt der Datenpakete, dafür ermöglicht es eine Authentifizierung für das jeweilige Programm. Aufgrund dieser Einschränkung ist der Einsatz in der Regel nur in Kombination mit anderen Firewall-Verfahren sinnvoll.

Auf einfachste Schutzmechanismen beschränkt sich die Network Address Translation (NAT). Dieses gerade bei Billig-Routern oft großspurig angepriesene Verfahren bezieht seine Schutzwirkung durch die altbekannte Security through Obscurity. Es werden nämlich lediglich die IP-Adressen der einzelnen Rechner nach außen verborgen, indem es nur eine öffentliche IP-Adresse für das Internet gibt. Ordnet ein Angreifer mittels Software entsprechende Verbindungen dem jeweiligen Zielrechner zu, dann ist der Schutz schnell umgangen. Letztlich sollte diese Sicherung nur als nützlicher Nebeneffekt betrachtet werden, wenn man NAT nutzt, um Rechner mit privaten IP-Adressen mit dem Internet zu verbinden.

Darauf ist beim Firewall-Kauf zu achten

  • Reicht die Rechen-Power für einen Content-Filter?

  • Sind das Betriebssystem und alle Firewall-Anwendungen gehärtet?

  • Gibt es Fehlerquellen durch zu viele Funktionen?

  • Reicht der Arbeitsspeicher für das geplante Regelwerk?

  • Ist genug Speicher für Logfiles vorhanden?

  • Alarmiert die Firewall automatisch per Mail?

  • Handelt es sich um eine echte demilitarisierte Zone (DMZ) oder nur einen exposed Host?

  • Kommt die Firewall mit schwierigen Protokollen klar (etwa im VoIP-Umfeld)?

  • Wer pflegt und wartet die Firewall?

  • Ist ein Wartungsvertrag erforderlich?

Umstrittene Personal Firewall

Noch stärker als über NAT streiten sich Experten über den Sinn oder Unsinn von Personal Firewalls (PFs). Während in der Windows-Welt und den entsprechenden Magazinen dieser Typ von Firewall häufig zum Allheilmittel hochstilisiert wird, sehen andere in ihnen eher eine Gefahr. In ihren Augen erweitern nämlich Personal Firewalls die Angriffsfläche. Unvoreingenommen betrachtet, dürfte die Wahrheit in der Mitte liegen. Kritikpunkte wie der, dass mit einer PF zusätzlicher ausführbarer Code und damit Fehlerquellen auf den Rechner kommen oder sie nur auf den höheren Layern des OSI-Modells arbeitet und damit Angriffe auf den unteren Ebenen nicht unterbinden kann, haben ihre Berechtigung. Zudem sind die meisten PFs Paketfilter, erkennen also keinen Schadcode.

Letztlich entbindet eine PF nicht von der Pflicht, einen Rechner sicher zu konfigurieren. Auf der anderen Seite sollte aber ihr Einsatz nicht grundsätzlich verteufelt werden. Für mobile Mitarbeiter, die sich per VPN mit dem Firmennetz verbinden, bildet die PF, bildhaft gesprochen, die Außengrenze des eigenen Netzes. Nicht umsonst integrieren deshalb viele Anbieter von VPN-Clients PFs in ihre Software, denn wenn der Client-Rechner diskreditiert wird, steht das gesamte Netz per VPN offen.

Eine einfache Faustregel, welcher Typ Firewall zu verwenden ist, gibt es leider nicht. Je nach gewünschtem Sicherheitsgrad wird es unter Berücksichtigung des Bedrohungsszenarios meist auf eine Kombination hinauslaufen. Ebenso müssen die Filterregeln an die individuellen Einsatzbedürfnisse angepasst werden. Da hier schnell komplexe Regelwerke entstehen, sollten die Auswirkungen mit einem Protokollanalysator penibel überprüft werden. Nur allzu leicht wird nämlich bei der Definition der Regeln auch erwünschter Verkehr ausgesperrt, und die Supportmitarbeiter suchen dann lange nach Ursachen, warum etwa eine VPN-Verbindung nicht funktioniert.

Standorte für die Firewall

Vor der Anschaffung einer Firewall sollte auch geklärt werden, wo diese im Netz positioniert wird. Soll etwa ein Server aus dem Internet erreichbar sein, gibt es wenig Sinn, wenn er hinter der einzigen Firewall steht. Findet der Angreifer dann eine Schwachstelle, steht ihm häufig das gesamte Netz offen. Hier haben sich so genannte demilitarisierte Zonen (DMZ) bewährt. In der einfachsten Variante befindet sich ein Server, auf den User aus dem Internet Zugriff haben, hinter einer Firewall, die nur Zugang zu den gewünschten Applikationen (etwa Web-Servern) gewährt. Beide sind wiederum gegenüber dem eigentlichen Unternehmensnetz mit einer weiteren Firewall abgeschottet. Ein Schutzmechanismus, der häufig auch in Firewall-Appliances integriert sein soll. Hier muss der Anwender aber genau prüfen, ob es sich bei dem beworbenen Feature wirklich um eine DMZ handelt oder nicht vielmehr um einen exposed Host, der für die Hersteller in der Produktion günstiger ist. Für den User hat dieser feine Unterschied eine entscheidende Konsequenz: Der exposed Host hat letztlich keine Schutzwirkung. Auf die Netzdienste eines Rechners, der als exposed Host dient, kann aus dem Internet quasi ungefiltert zugegriffen werden. Da dieser Rechner meist nicht auf Netzebene vom Rest des Netzes getrennt ist, hat ein erfolgreicher Angreifer über diesen Umweg Zugriff auf das gesamte Netz.

Sind die Grundanforderungen bekannt, kann das eigentliche Firewall-Gerät ausgewählt werden. Grundsätzlich besteht hier die Wahl zwischen Software- und Hardware-Firewall. Gerade im Linux-Umfeld gibt es viel Software, um sich eine Firewall für die eigenen Bedürfnisse zusammenzubauen. Allerdings ist das zeitaufwändig, so dass es für die meisten IT-Abteilungen angesichts der geschrumpften Mitarbeiterzahlen nicht in Betracht kommt. Weniger Aufwand versprechen fertige Firewall-Appliances, die in den unterschiedlichsten Ausprägungen (mit VPN, mit Routing-Funktion, mit Application Filtering) auf dem Markt zu finden sind. Auch wenn es reizvoll erscheint, mit einem integrierten Device nur ein Gerät administrieren zu müssen, ist doch zu bedenken, dass mit der Komplexität die Gefahr wächst, dass die Firewall selbst Schwachstellen hat, weil eventuell Fehler im Programmcode stecken.

Ferner sollten grundsätzlich die Performance-Anforderungen einer Firewall nicht unterschätzt werden. Wer den Inhalt von IP-Paketen quasi in Echtzeit analysieren will, braucht enorme Rechen-Power, was die Geräte verteuert. Umfangreiche Filterregeln gehen dagegen auf Kosten des Arbeitsspeichers, so dass hier nicht gespart werden sollte. Und zu guter Letzt sollte die Festplatte beziehungsweise der Massenspeicher einer Firewall nicht zu klein gewählt werden. Was auf den ersten Blick absurd klingt, hat einen praktischen Hintergrund: So manche Firewall wurde schon vom Angreifer bezwungen, weil er mit einem Dauerbeschuss die Kapazität der Logfiles zum Überlaufen brachte.

Wartung nicht vergessen

Neben diesen harten Fakten sollte bei der Kaufentscheidung auch darauf geachtet werden, welche Supportleistung der Hersteller und seine Händler bieten. Gerade kleinere Unternehmen werden aufgrund von Personalmangel meist einen Wartungsvertrag benötigen.

Und last, but not least sollte - unabhängig von der gewählten Firewall - eines nicht vergessen werden: Mit der Installation und Inbetriebnahme ist es nicht getan. Eine Firewall, die unbeaufsichtigt in der Ecke steht, bietet bald keinen Schutz mehr. Zumindest die Logfiles sollten regelmäßig ausgewertet und eventuelle Angriffsversuche analysiert werden.