Tipps zum sicheren Firewall-Betrieb

14.06.2007
Von Detlev Flach
Mit dem Kauf einer Firewall ist es heute nicht mehr getan. Erst die richtige Inbetriebnahme und ständige Pflege garantieren vollständigen Schutz.

Während beim Autokauf das Thema Sicherheit längst zu einem der wichtigsten Kriterien geworden ist, wird es in der Unternehmens-IT oft noch vernachlässigt. Wer sich ohne Firewall und Virenscanner im Internet bewegt, könnte allerdings genauso gut ein Auto ohne Gurte, ABS und Seitenaufprallschutz fahren. Die Tatsache, dass das Internet heute vor Gefahren nur so wimmelt, sollte jedoch das nötige Bewusstsein schaffen, rechtzeitig die erforderlichen Sicherheitsmaßnahmen zu treffen, um nicht unternehmenskritische Daten und Systeme akut zu gefährden. Insbesondere die richtige Inbetriebnahme und die ständige Pflege machen ein Firewall-System erst zu dem, was es sein sollte.

Hier lesen Sie ...

  • wie moderne Firewalls zu kompletten Security-Plattformen werden;

  • in welche Richtung die Firewall-Entwicklung geht;

  • worauf beim Kauf einer Firewall zu achten ist;

  • warum Firewalls ein kontinuierliche Pflege benötigen.

Je nach Einsatzgebiet sollte eine Firewall mehrere Netzwerk-Ports aufweisen.
Je nach Einsatzgebiet sollte eine Firewall mehrere Netzwerk-Ports aufweisen.
Foto: Clavister

In der Vergangenheit haben Viren, Rootkits, Trojaner und Co. regelmäßig die Systeme namhafter Großunternehmen lahm gelegt. Das bedeutet aber nicht, dass man den Schädlingen schutzlos ausgeliefert ist. Unabhängig von der Größe des Unternehmens ist der erste Schritt zur Sicherheit die Implementierung einer Firewall in die vorhandene IT-Struktur. Da jedoch deren Funktionen immer komplexer werden und die Wartung immer anspruchsvoller wird, fehlen Unternehmen ohne eigene IT-Abteilung oft die Ressourcen und das Know-how, um eine sichere und zuverlässige Firewall zu finden, diese einzurichten und im laufenden Betrieb richtig zu pflegen.

Welches Firewall-System ist für das Unternehmen nun das richtige? Es gibt viele Anbieter auf diesem heiß umkämpften Markt, die zum Teil mit unterschiedlichsten Konzepten aufwarten. Deshalb sollte der Anwender vor einem Kauf für sich im Lastenheft folgende Fragen beantworten:

  • Anzahl der Netzwerkports: Wie viele Internetleitungen müssen an das System angeschlossen werden?

  • Wird es DMZ-Zonen - sowohl interne als auch externe Zonen geben? (DMZ = Demilitarisierte Zone – auch Grenznetz genannt – ist ein vom internen LAN abgetrennter Bereich (Netz))

  • Wird das interne LAN segmentiert, sollen VLANs (Virtuelle LANs) abgebildet werden?

  • Wie hoch ist die Anforderung an den zu erwartenden Durchsatz durch das Firewall-System? Wird die Firewall auch als interne Firewall eingesetzt, wo vielleicht Gbit-Durchsatz erforderlich ist?

  • Soll die Firewall Daten auf Viren scannen können?

  • Soll ein Content-Filter eingesetzt werden?

  • Sollen Serversysteme durch IDP geschützt werden?

  • Wie lange darf die Firewall im Extremfall ausfallen (Tage, Stunden, Sekunden)?

  • Wie soll die Firewall gemanaged werden, HTTPS oder zentrales Managementsystem?

  • Sollen Außenstellen und Außendienstmitarbeiter an die zentrale Firewall via VPN angeschlossen werden?

  • Soll eine Benutzer-Authentifizierung durchgeführt werden, um beispielsweise den Zugriff auf Internet-Seiten zu gewähren?

Anforderungen an heutige Firewalls

Zentrale Komponenten, wie die Stromversorgung, sollten redundant ausgelegt sein, um einen sicheren Betrieb zu gewährleisten.
Zentrale Komponenten, wie die Stromversorgung, sollten redundant ausgelegt sein, um einen sicheren Betrieb zu gewährleisten.
Foto: Clavister

Heute sind Firewalls wahre Tausendsassas. Während sie früher meist als reine Paketfiltersysteme zur Regelung des Netzwerkverkehrs von internen in externe Netze eingesetzt wurden, fungieren sie mittlerweile zunehmend als komplette Security-Gateways. In dieser Funktion übernehmen sie zusätzliche Aufgaben, die bisher durch andere Techniken und andere Security-Systeme erfüllt worden sind. Sie untersuchen etwa den auf Applikationsebene eingehenden und ausgehenden Datenverkehr in Richtung Internet auf schädliche Pakete und Viren. Aus diesem Grund scannt eine gute Firewall auch Daten auf Viren. Angriffe, die dem ganzen System oder Subsystemen gelten, sollten durch die Firewall automatisch erkannt und verhindert werden. Zudem sind Mechanismen empfehlenswert, die bestimmte Internet-Seiten, über die häufig Viren und Malware verteilt werden, sperren und kategorisieren. Diese Funktionalität lässt sich auch häufig mit einer Benutzer-Authentifizierung kombinieren, so dass abhängig vom Benutzer oder von der Benutzergruppe nur auf bestimmte Internet-Inhalte zugegriffen werden kann.

Der Trend zur mobilen Kommunikation stellt Firewalls ebenfalls vor neue Herausforderungen. Die Anbindung von Außenstellen und mobilen Geräten erfolgt zunehmend über stabile VPN-Tunnel, in denen die Datenpakete wie beispielsweise VoIP (Voice over IP) nach QoS-Anforderungen (Quality of Service) priorisiert werden können beziehungsweise teilweise müssen.

Durch die immer günstiger werdenden Zugangsleitungen (ADSL/SDSL) wird die Verwaltung von mehreren Internet-Anbindungen zu einer weiteren Aufgabe für Firewalls. Fällt eine der Leitungen aus, kann die Firewall den Datenverkehr auf die verbleibenden Leitungen umschalten. Dies ist dann auch mit einem Service-basierenden Routing kombinierbar, so dass beispielsweise generell E-Mails und VPN-Verbindungen über einen ISP geleitet werden, während der http-Datenverkehr über den anderen ISP abläuft. Wenn die Internet-Zugänge hochverfügbar angebunden werden, kann auch die Firewall hochverfügbar auslegbar sein und somit schnelle Umschaltzeiten garantieren. Zudem sollte das Management der Firewall-Systeme einfach und intuitiv gestaltet sein, um es so dem IT-Verantwortlichen zu ermöglichen, mehrere Systeme gleichzeitig zu verwalten und hierzu vielfältige Log-, Debug- und Monitoring-Funktionen einzusetzen.

Auf die Planung kommt es an

Um eine Firewall effizient und sicher einzusetzen, ist zudem eine gute Planung und Vorbereitung im Hinblick auf das Setup notwendig. Daher müssen schon im Vorfeld der Firewall-Installation die netzwerkspezifischen Dienste des Unternehmens genau analysiert werden, beziehungsweise es ist zu klären, welche Netzdienste durch den Einsatz einer Firewall beeinträchtigt werden. Um Beeinträchtigungen möglichst gering zu halten, sollten in größeren Netzen im Zuge einer Vorbesprechung alle relevanten Administratoren und Dienstleister (Windows/Linux/Mail) über die Umstellung informiert werden, so dass sie ihre speziellen Wünsche und Anregungen einbringen können.

Im Anschluss an diese Vorbesprechung müssen die Grundeinstellungen vorgenommen werden. In der Regel werden heutige Firewall-Systeme mit einem Standardregelsatz ausgeliefert. Dieser Regelsatz erlaubt jedoch oft nur den Traffic von der Management-Station zur Firewall. Sämtliche anderen Dienste, die vom internen Netz ins Internet gehen, werden erstmal geblockt und müssen daher dezidiert freigeschaltet werden.

Nach der Installation ist sicherlich die Frage nach der tatsächlichen Sicherheit interessant. Um diese zu prüfen, kann ein Sicherheitstest durch einen externen Dienstleister (oft auf Portscanner-Basis) durchgeführt werden. Dieser sollte aber zudem auch die Server und Applikationen, die durch die Firewall geschützt werden, im Detail überprüfen, denn trotz Firewall sind oft noch Sicherheitslücken vorhanden, die durch nicht korrekt konfigurierte Mail- oder Webserver entstehen und daher offen für Angriffe und Eindringlinge sind. Firewall-Systeme können in diesem Fall nur bedingt helfen, da sie nicht immer mit IDP/IPS-Funktionen ausgerüstet sind.

Auf dem aktuellen Stand bleiben

Eine Firewall, die nicht regelmäßig auf den neuesten Stand gebracht wird, ist bei der rasanten Vermehrung des digitalen Ungeziefers im Internet quasi nutzlos. Im ständigen Wettlauf mit Viren und Würmern müssen auch Firewall-Hersteller in regelmäßigen Abständen Patches und Updates ihrer Firewall-Software auf den Markt bringen. Diese Updates und Patches werden von den Herstellern aber meist nur dann zur Verfügung gestellt, wenn der Anwender einen gültigen Software-Service-Vertrag abgeschlossen hat. Bei den Updates ist zu beachten, dass je nach Architektur der Firewall auch Patches am Betriebssystem notwendig sein können. Verfügt das Firewall-System über Funktionen wie Antivirus, IPS/IDS und Content Filter, werden von den Anbietern meist automatische Update-Funktionen implementiert.

Zusätzlich zu den Updates kann die Effizienz der Firewall mit richtiger Pflege erhöht werden. Dazu sollte eine Logfile-Auswertung in regelmäßigen Abständen (gut: täglich) vorgenommen werden. Noch besser ist es, wenn ein Reportingsystem den Benutzer in Echtzeit etwa via Mail über Angriffe auf sein Netzwerk informiert. Viele Hersteller versenden außerdem kontinuierlich Informationen über neu erkannte Bugs und die dazugehörigen Patches, so dass die Benutzer stets auf aktuelle Gefahren reagieren können.

Die neue Firewall-Generation

Aufgrund der ständig steigenden Rate von Bedrohungen, die durch immer neue Versionen von Viren, Würmern, Rootkits oder Trojanern und Phishing-Attacken in immer kürzer werdenden Zeitabständen hervorgerufen werden, sind viele Firewall-Hersteller dazu übergegangen, Unified-Threat-Management-Lösungen (UTM) anzubieten. Mehrere Marktforschungsinstitute bewerten UTM derzeit als die aussichtsreichste Produktgruppe im Bereich der Internet-Security-Lösungen für die kommenden Jahre. Im Sinne von UTM muss allen Bedrohungen sowie Attacken aus dem Internet jeweils ein entsprechendes Modul zur Abwehr entgegenstehen, vereint auf einer Plattform und unter einer Bedieneroberfläche. Im Vergleich zu mehreren separaten Lösungen, die einzeln administriert werden, verliert der Systembetreuer hier nicht den Überblick und wird automatisch per Mail über die Abwehr eines Angriffs informiert.

Weiterentwicklungen der Hersteller

Mit UTM ist aber das Ende der Fahnenstange noch nicht erreicht. Etliche Hersteller haben dieses Grundkonzept überarbeitet und erweitert. So offeriert beispielsweise der schwedische Firewall-Hersteller Clavister unter der Bezeichnung xUTM (Extended Unified Threat Management) Systeme, die mit einem höheren Sicherheits-Level aufwarten sollen. Ihr Konzept haben die Schweden in enger Kooperation mit TK-Unternehmen entwickelt. So warte die xUTM-Technologie mit einer hohe Performance mit Multi-Gigabit-Kapazität auf. Ferner biete xUTM umfangreiche Services in jeder Teiltechnologie sowie eine echte Applikationskontrolle, die viele P2P/IM-Kontroll-Funktionen übersteigt. Ferner warte die Firewall mit erweiterten Intrusion Prevention-Funktionen, Realtime-Antivirus-Scanning, Auditing, flexibles Web-Filtering, Applikations-Blocking, Anti-Phishing sowie automatisierten Signatur-Updates auf. In den Bereichen Intrusion Detection/Intrusion Prevention, Web-Content-Filtering werden dazu beispielsweise moderne Stream-basierende Antivirus-Funktionen eingesetzt. Clavister stellt hierzu beispielweise ein "Service Provisioning Network" (CSPN) bereit, das alle Systeme mit allen notwendigen Updates automatisch versorgt.

Allerdings können selbst die leistungsfähigsten Firewall-Systeme der neusten Generation - heißen sie nun UTM- oder xUTM-Security-Appliance – über eine Tatsache nicht hinwegtäuschen: Jedes Unternehmen, das sich richtig absichern möchte, braucht eine maßgeschneiderte Firewall-Lösung. Dieses sollte von einem Dienstleister aus der IT-Security-Branche individuell konzipiert, installiert und gewartet werden. Zudem offerieren die Dienstleister in der Regel auch Managed Services für die Produkte. Ein Punkt, den vor allem Anwender schätzen dürften, die nicht über das nötige Personal oder Fachwissen verfügen, denn hier können sie Wartung und Auswertung der Firewall auslagern.

Fazit

Wer also eine maßgeschneiderte und vor allen Dingen sichere Lösung für sein Unternehmen sucht und nicht über eigene Spezialisten verfügt, sollte sich an einen IT-Security-Dienstleister seines Vertrauens wenden. Denn nur so kann eine Firewall-Lösung für das Unternehmen geschaffen werden, die sauber installiert, frei von Sicherheitslücken ist und effizient arbeitet. Doch auch nach der Implementierung sollte die Wartung einem Spezialisten überlassen werden, so dass die Technik stets auf dem neuesten Stand ist, Logfiles täglich analysiert werden und damit sensible Firmendaten geschützt sind bzw. es auch in Zukunft bleiben. (hi)