Firewall

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Wechseln zu: Navigation, Suche

Eine Firewall ist ein standortbezogenes Sicherheitskonzept zur Trennung von Netzwerkbereichen und nimmt in zweiter Linie Bezug auf ein ständig zu pflegendes System (inklusive dazugehöriger Firewallsoftware), welches dabei helfen soll, das Sicherheitskonzept zu realisieren.

Die Hersteller dieser Systeme verwenden „Firewall“ auch als Oberbegriff für ihre Produkte. Von dieser Verwendung abgeleitet, wird eine Firewall umgangssprachlich vorwiegend mit dem Firewallsystem und weniger mit dem Sicherheitskonzept assoziiert. Der Artikel behandelt die verschiedenen Arten der Firewallsysteme.


Es steht jedem Leser frei, sich aktiv an dem Artikel zu beteiligen, Vorschläge zu unterbreiten und im Diskussionsbereich Kritik zu üben. Das ist ein wiki. Artikel wie dieser leben von eurer Mitarbeit. Hilf bitte mit, den Artikel aktuell zu halten.


Grundsätzliche Fragen

Wozu dient eine lokale oder externe Firewall?

Desktop Firewall 
Als Desktop- oder Personal-Firewall wird eine lokal auf dem Computer installierte Firewallsoftware bezeichnet. Zu ihrer Aufgabe gehört es, bösartige und ungewollte Netzwerkzugriffe von außen auf den Computer zu unterbinden. Je nach Produkt versucht sie zudem, Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren. Aufgrund ihrer lokalen Installation und der daraus resultierenden sicherheitstechnischen Grenzen, wird ihre Zuverlässigkeit unter Ethickerds als gering eingestuft.
externe Firewall 
Eine externe Firewall, auch Hardwarefirewall genannt, bietet eine für Angriffe unempfindlichere Plattform, welche ebenfalls bösartige und ungewollte Zugriffe von außen auf das interne System zu unterbinden versucht. Das ‚interne System’ besteht hier aber nicht zwangsläufig aus nur einem einzigen Computer, sonder kann sich auf einen Verbund mehrerer Computer beziehen, die das interne Netz bilden. Im privaten Bereich findet meist ein Firewallrouter Anwendung, welcher beispielsweise auf einem DSL-Router arbeitet. Dieser kann umgekehrt einzelne Programme nur sehr bedingt davon abhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren, denn er wurde für eine solche Aufgabe nicht konzipiert. Dagegen bietet eine Proxy-Firewall hierfür einige Lösungsansätze, wie z.B. eine mögliche Verbindungsauthentifizierung per Eingabe von Kennung und Passwort, ohne deren Eingabe es der Anwendung nicht möglich ist, mit dem Internet zu kommunizieren. Nachteil dieser Methode ist, dass die Anwendung das Authentifizierungsprotokoll (z.B. SOCKS) kennen muss. In einem solchen Umfeld lassen sich also nur Anwendungen nutzen, die entsprechend erweitert wurden.

Gibt es Hardwarefirewalls?

Es gibt keine Firewalls die ausschließlich auf Hardware basieren. Eine Firewall kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware. Bei einer Firewall handelt es sich immer um eine Software.

Der etwas ungünstig gewählte Begriff Hardwarefirewall wird vielmehr als Synonym für externe Firewalls verwendet. Er soll zum Ausdruck bringen, dass es sich hierbei um eine separate Hardware handelt, auf der ausschließlich die Firewallsoftware läuft (es werden dort keine anderen Dienste bereitgestellt).

Ist eine Firewall zum effektiven Schutz eines Computersystems überhaupt notwendig?

Erst ein Netzwerkdienst oder eine gestartete Anwendung mit entsprechender Funktionalität schafft die Möglichkeit, um über das Netzwerk auf Ressourcen des Rechners (wie z.B. Dateien und Drucker) zugreifen zu können. Ein Computerspezialist – der sich mit Malwaretechniken auskennt – wird sein System vor ungewollten Fernzugriffen schützen, indem er zunächst alle nicht benötigten Netzwerkdienste seines PCs deaktiviert. Alle intern benötigten Dienste wird er nicht an das externe Netz binden und regelmäßig Sicherheitsupdates einspielen. Neue Anwendungen wird er nicht ohne grundliche Recherche im Internet ausführen und sie ggf. analysieren oder diese zumindest in einem eigenen sandboxähnlichen System starten.

Auch ein Laie kann mithilfe diverser Tools die potentiell gefährdeten Netzwerkdienste deaktivieren lassen, was grundsätzlich zu empfehlen ist. Ein System ist mit solchen Einstellungen auch ohne Firewall sicher vor ungewollten Fernzugriffen aus dem Netz, die sich an die Standarddienste richten. Allerdings birgt dieses Vorgehen für Laien die Gefahr, Dienste abzuschalten, die noch gebraucht werden. Zudem besteht noch immer die Möglichkeit, über nicht vertrauenswürdige Programme unbemerkt eine Malware (Schadprogramm) zu installieren, welche es einem Angreifer erlaubt, auch bei deaktivierten Standarddiensten auf den Rechner zuzugreifen. Das funktioniert selbst dann, wenn das Benutzerkonto des Anwenders über keine administrativen Rechte verfügt. Genügend Rechte vorausgesetzt ist es auch möglich, dass eine heimlich installierte Malware deaktivierte Dienste unbemerkt wieder reaktiviert.

Die Symptome einer Malware mithilfe von Werkzeugen wie die Firewall eindämmen zu wollen, ist allerdings eine denkbar schlechte Herangehensweise. Besser wäre es, die Ursache direkt zu bekämpfen, indem man auf die Ausführung nicht vertrauenswürdiger Programme verzichtet. Eine Malware lässt sich allerdings auch über Schwachstellen genutzter Programme installieren, wie z.B. den Internetbrowser, wenn dieser einen Programmierfehler enthält. Dann kann bereits der Aufruf einer entsprechend präparierten Internetseite genügen, um die Malware unbemerkt auf dem eigenen System zu installieren. Das eigene System sollte daher durch Updates regelmäßig aktualisiert werden, um die Installation einer Malware möglichst zu verhindern. Wird dennoch eine Malware erkannt, so sollte man Maßnahmen ergreifen, sie komplett zu entfernen, statt ihre Aktivitäten zu unterdrücken.

Demgegenüber steigt die Wahrscheinlichkeit, dass ein solcher Idealzustand schwindet, je mehr Anwender das zu schützende System nutzen. Eine Firewall kann jedoch nur bedingt dabei helfen, den Schaden zu begrenzen. In den folgenden Abschnitten wird erklärt, unter welchen Umständen es ihr gelingt, den Fernzugriff auf die Malware zu unterbinden und welchen Situationen sie machtlos gegenübersteht.

Von einem vollwertigen Schutz gegen Eindringlinge – wie es einem die Werbung zahlreicher Firewallprodukte Glauben macht – ist man weit entfernt, sobald die Installation von Malware auf dem zu schützenden System nicht wirksam unterbunden werden kann. Daher braucht es weniger eine Firewall für den effektiven Schutz eines Computersystems, als vielmehr einen Anwender, der weiß, was er tut. Für einen solchen Anwender kann die Firewall allerdings ein nützliches Werkzeug sein.

Wie kann eine externe Firewall die Möglichkeiten ungewollter Fernzugriffe einschränken?

Ein direkter Anschluss an das Internet hat zur Folge, dass alle Rechner aus dem Internet auf die an diesem Netzwerkanschluss gebundenen Dienste des Rechners zugreifen können. Innerhalb der Funktionalität der Dienste ist somit ein Fernzugriff auf den Rechner möglich. Hinzu kommt, dass eine Sicherheitslücke in einem Netzwerkdienst die Basis dafür liefern kann, um über die normalen Zugriffsfunktionen hinaus Aktionen auf dem Rechner auszuführen.

Eine Lösung wäre es, zwischen dem internen (privaten) Netz und dem externen Netz (Internet) zu unterscheiden und benötigte Dienste nur an die Netzwerkschnittstelle des internen Netzes zu binden. Diese Aufgabe kann eine externe Firewall übernehmen: Statt des PCs wird die externe Firewall an das Internet angeschlossen, wobei die PCs aus dem internen Netz wiederum mit diesem Gerät vernetzt werden. Die PCs übermitteln ihre Anfragen an das Internet nun an die Firewall, welche stellvertretend für die PCs auf das Internet zugreift. Das Zielsystem sieht daher als Absender nur die Firewall, die wiederum die Antwortpakete des Zielsystems an den entsprechenden PC im internen Netz weiterleitet. Dadurch ist es ihr möglich, die Netzwerkpakete in beiden Richtungen zu analysieren und zu filtern, noch bevor sie die tatsächlichen Kommunikationspartner erreichen.

Da das Zielsystem nicht den internen PC, sondern nur die Firewall sieht, sind mögliche Angriffe aus dem Internet an die dafür prädestinierte Firewall gerichtet und treffen nicht direkt den internen PC. Jemand aus dem Internet, der auf der Netzwerkadresse der Firewall nach einem Netzwerkdienst (wie z.B. die Datei- und Druckerfreigabe) sucht, wird nicht fündig, da der Dienst auf dem PC und nicht auf der Firewall läuft. Auf diesem Level ist die Firewall also nicht angreifbar und die Netzwerkdienste der internen PCs aus dem Internet heraus nicht erreichbar.

Auch eine Malware, die auf dem PC heimlich einen Netzwerkdienst installiert, kann an diesem Zustand nichts ändern. Der Netzwerkdienst ist nur aus dem privaten Netz heraus ansprechbar, nicht jedoch aus dem Internet heraus (die Malware kann schließlich keinen Dienst auf der Firewall installieren, sondern nur auf dem PC).

Allerdings ist das nur die halbe Wahrheit: Damit ein Firewallrouter, der z.B. auf einem DSL-Router arbeitet, ohne permanenten manuellen Konfigurationsaufwand funktioniert, muss er in der Lage sein, dynamische Regeln zu erstellen. Der DSL-Router realisiert dies mithilfe von PAT. Abgesehen von Anfragen auf explizit gesperrten Zielports erlaubt er deshalb automatisch alle Kommunikationsverbindungen, die von dem internen Netz (also von den privaten PCs) angefordert wurden. Wenn also die Malware lediglich einen Netzwerkdienst installiert, der auf eine externe Verbindung wartet, so funktioniert der Schutzmechanismus recht gut. Baut sie jedoch selber eine Verbindung zum Internet auf, so wird der DSL-Router die Verbindung zulassen, da sie vom internen Netz heraus angefordert wurde. Ein solcher DSL-Router kann also lediglich externe Verbindungsanfragen effektiv unterbinden.

Die meisten DSL-Router, die im Widerspruch dazu augenscheinlich eine Netzwerkzugriffskontrolle für Anwendungen des PCs zu realisieren scheinen, erreichen dies mit einem simplen Trick: Laut Handbuch soll der Anwender zunächst die zu dem Gerät gehörende Administrationssoftware auf dem PC installieren. Zusammen mit der Administrationssoftware gelangt so auch eine hauseigene Desktop Firewall auf den heimischen PC. Auch wenn sich die lokal installierte Software mit dem Logo und dem Namen der externen Firewall meldet, hat sie nichts mit ihr zu tun. Eine solche Lösung unterscheidet sich sicherheitstechnisch gewöhnlich nicht von anderen Desktop Firewalls, die zusätzlich zu einem DSL-Router installiert werden.

Davon losgelöst gibt es auf fachgerechten Geräten durchaus erweiterte Methoden, um auch interne Verbindungsanfragen mithilfe der externen Firewall zu kontrollieren. Sie setzen in der Regel Proxies ein und unterstützen so die Möglichkeit, dass sich jede Anwendung (oder wenigstens der PC) vor der Netzwerkkommunikation bei der externen Firewall authentifizieren muss, bevor die Kommunikation erlaubt wird. Zudem lassen sich dort spezielle Filter installieren, welche nach bekannten Malwaresignaturen in den Netzwerkpaketen eines Dienstes suchen und die Pakete bei Identifikation sperren. Diese Funktionalitäten erhöhen die schadensbegrenzende Wirkung der externen Firewall auch jenseits der Portsperre bei der Kommunikation von innen nach außen. Da sie jedoch bei Geräten für den privaten Gebrauch kaum anzutreffen sind, stellen sie zumindest in dieser Sparte eine Ausnahme dar.

Lohnt sich der Einsatz einer Desktop Firewall?

Zunächst einmal sollte man sich darüber im Klaren sein, dass eine externe Firewall keine Befugnisse auf dem lokalen System (dem PC) hat. Sie kann gegen die lokalen Aktivitäten eines Programms also nichts unternehmen. Bei den Desktop Firewalls sieht das anders aus, denn der direkte Zugriff auf das zu überwachende System erweitert die Möglichkeiten dieser Software ungemein. Im Umkehrschluss haben allerdings auch Programme, welche auf derselben Hardware wie die Firewall laufen, wesentlich mehr Möglichkeiten diese zu manipulieren und zu umgehen, als bei einer externen Firewall. Daher kann die Desktop Firewall eine externe Firewall lediglich ergänzen, jedoch niemals ersetzen.

Wie aber kann eine Desktop Firewall eine externe Firewall ergänzen? Da aus finanziellen Gründen kaum ein Heimanwender vor jedem PC, auf dem ein benötigter und zu filternder Netzwerkdienst läuft, eine externe Firewall aufstellen wird, hat das Firewallmodul der Desktop Firewall strategisch gesehen durchaus seine Vorteile. Um jedoch nicht zu riskieren den Filter zu verlieren, muss man auf einem derart konfigurierten System die Installation einer Malware sicher ausschließen können.

Dank ihrer lokalen Installation bietet die Desktop Firewall zudem erweiterte Funktionalitäten an, welche zwar nicht zum Firewallmodul gehören, jedoch zum festen Bestandteil vieler Produkte geworden sind. Diese können Autostarteinträge überwachen, per Sandbox die Datei- und Systemzugriffe der Prozesse einschränken und aufzeichnen oder Angriffe erkennen und nach Malware suchen, sowie den Zugriff einzelner Programme auf das Netzwerk verwalten. Allerdings können zahlreiche Ereignisse jederzeit dafür sorgen, dass ihr kompletter „Schutzmechanismus“ aussetzt, ohne dass der Anwender dies bemerkt. Daher ist die Desktop Firewall gänzlich ungeeignet unerwünschte Netzwerkzugriffe einer Anwendung permanent zu unterbinden.

Bezüglich ausgehender Netzwerkkommunikationen gilt, dass die Desktop Firewall nur dann einen Nutzen bringt, wenn man ihre Warnhinweise dazu nutzt, eine unerwünschte Kommunikation über die Konfiguration des geschwätzigen Programms abzuschalten, statt sich auf die Firewallregel zu verlassen. Gelingt das nicht, so ist es ratsam, sich nach einer Alternative für das Programm umzusehen. Warnhinweise, die auf eine Malware hindeuten, sollten generell dazu verwendet werden, die entdeckte Malware komplett zu entfernen.*

*Es ist empfehlenswert die Bereinigung des Systems nicht über eine Bereinigungssoftware, sondern per Einspielung des letzten „sauberen“ Festplatteimages vorzunehmen, da ein Softwareprodukt (wie z.B. ein Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann.

Welches Firewallsystem ist besser: Eine externe Firewall oder eine Desktop Firewall?

In all den Punkten, in denen sich die Funktionalitäten einer Desktop Firewall mit denen einer externen Firewall gleichen, ist die externe Firewall zuverlässiger. Sie bietet in der Regel eine für Angriffe unempfindlichere Plattform, da sie auf einem eigenen System läuft, welches sich ausschließlich der Firewallfunktionalität widmet. Da sie keine anderen Dienste anbietet, basiert ein derart spezialisiertes Gerät vorwiegend auf ein sicherheitsoptimiertes und netzwerkseitig stabiles System, welches dank der physikalischen Trennung zum Computer nicht so einfach manipuliert werden kann. Sie ist dafür prädestiniert, unerlaubte Zugriffe von außen auf das interne Netz zu unterbinden.

Abgesehen von einigen stark begrenzten Ausnahmen bietet eine externe Home-Firewall dagegen keine programmbezogenen Regeln an, weshalb ein erlaubter Port aus dem privaten Netz heraus von allen Programmen gleichermaßen genutzt werden kann. Anders als bei der Desktop Firewall ist sie daher kaum in der Lage, unerwünschte Zugriffe eines Programms auf das Internet zu erkennen, denn sie wurde für eine solche Aufgabe nicht konzipiert. Darüber hinaus wartet eine Desktop Firewall mit Regeln für die Kommunikation innerhalb des internen Netzes auf. Beide Firewallarten können sich somit ergänzen, wobei keine von ihnen dafür geeignet ist, die jeweils andere Firewall vollständig zu ersetzen. Zusammenfassend lässt sich sagen:


Im Vergleich zu einer externen Firewall ist die Desktop Firewall nicht besser oder schlechter, sondern vor allem anders.


Worin besteht das Risiko bei der Verwendung einer Firewall?

Sicherheit ist niemals ein Produkt, sondern ein ständig zu pflegender Prozess, der im Kopf beginnt und genau dann endet, wenn er den Kopf verlässt. Der Einsatz einer Firewall kann dazu beitragen, dass der Anwender sich in Sicherheit wiegt und unvorsichtig wird. Dadurch verliert er nicht nur die Sicherheit, sondern gefährdet sein System mehr als zu Zeiten, in denen er noch keine Firewall eingesetzt hat. Daher gilt:

Der Einsatz einer Firewall, gleich welcher Art, darf keine unvorsichtige Arbeitsweise provozieren. Denn dies verkehrt ihre Wirkung ins Gegenteil.

Das lässt sich mit der Verwendung eines Sicherheitsgurts vergleichen: Trotz dass er einen nicht absolut zuverlässig schützen kann, sollte man ihn anlegen, wobei er auf keinen Fall zum unvorsichtigen Fahren animieren darf, was den vermeintlichen „Schutz“ ad absurdum führen würde.

Auch ist die Verwendung eines Firewallsystems ohne Sicherheitskonzept fragwürdig, vor allem wenn man deren Tücken und Grenzen nicht kennt. Letzteres wird in den Beiträgen über die externe Firewall und Desktop Firewall ausführlich behandelt.

Ein weiteres Risiko zeigt sich dann, wenn aufgrund zu vieler Sicherheitsmaßnahmen die persönlich vertretbare Schwelle zwischen Sicherheit auf der einen Seite und Arbeitskomfort auf der anderen Seite überschritten wird. Das ist spätestens der Fall, wenn man – trotz schlechten Gewissens – die installierten Barrieren selbst unterwandert, indem sie z.B. zum Spielen abgeschaltet werden. In einem solchen Fall ist es besser, gänzlich darauf zu verzichten. Es ist auch nichts Verwerfliches daran, dies zu tun. Was nutzt einem ein System, welches dank zu vieler und komplizierter Sicherheitsmaßnahmen nur noch ungern oder gar nicht mehr benutzt wird? Es gilt somit die eigene Schwelle des Zumutbaren zu finden, sein System entsprechend zu konfigurieren, die verbleibenden Risiken zu kennen und fortan mit nicht übertriebener, aber angemessener Vorsicht zu agieren. Um die beiden letzten Punkte angehen zu können, ist es unerlässlich, dass man sich selbst gegenüber mit offenen Karten spielt und von sämtlichen Sicherheitsmaßnahmen absieht, die man ohnehin unterwandert. Tut man das nicht, so werden die verbleibenden Risiken durch die Firewall lediglich kaschiert, wodurch die Firewall selbst zum Sicherheitsrisiko wird.

Kann eine Firewall ein Antivirenprogramm ersetzen?

Eine Firewall kann kein Antivirenprogramm ersetzen. Der Grund ist schlicht der, dass ein Antivirenprogramm ein vollkommen anderes Konzept realisiert, welches versucht den PC vor Computerviren zu schützen.

Technische Details

Technische Funktionsweise einer Firewall

  • Eine externe Firewall stellt eine kontrollierte Verbindung zwischen zwei Netzwerken her. Das könnten z.B. ein privates Netz und das Internet sein.
  • Eine Personal- oder Desktop Firewall kontrolliert die Verbindung zwischen dem PC und dem Netzwerk, an dem der PC angeschlossen ist. Sie ist somit in der Lage Netzwerkzugriffe zwischen dem PC und dem Internet (WAN) genauso zu kontrollieren, wie die Zugriffe zwischen dem PC und dem lokalen Netz (LAN).

In beiden Fällen überwacht die Firewall den durch sie hindurch laufenden Datentransfer und entscheidet an Hand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. den PC vor unerlaubten Zugriffen zu schützen.

Zusätzlich werden im Bedarfsfall unerlaubte Zugriffe mit Hilfe der Firewall protokolliert, um den Anwender ggf. auf Attacken aufmerksam zu machen. Hierbei werden allerdings lediglich Verstöße gegen eingestellte Regeln als möglicher Angriff erkannt. Von solchen Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall jedoch nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender-/Zieladresse und genutzten Diensten – zu erlauben.

Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig (Intrusion Detection System), welche durchaus auch auf eine Firewallsoftware aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Wie treten Firewalls in Erscheinung?

sichtbar

Die Firewall stellt sich als Vermittlungsstelle zwischen das Quell- und Zielsystem. Sie realisiert eine Adressumsetzung als dedicated Proxy auf der OSI-Schicht 7 oder arbeitet als NAT- bzw. PAT-Komponente auf der OSI-Schicht 3 und 4 und tritt so für wenigstens eine der beiden Gegenstellen selbst als vermeintlicher Kommunikationspartner in Erscheinung.

tansparent

Hierbei legt sich die Firewall tansparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können. Der Datenstrom fließt einfach durch die Firewall hindurch. Auf IP-Ebene sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese maximal als Verbindungsglied zwischen den Subnetzen (Router ohne NAT). Dennoch kann die Firewall den Datenstrom unterbrechen (bestimmte Pakete herausfiltern).

unsichtbar

Genau wie bei dem transparenten Modus fließt auch hier der Datenstrom einfach durch die Firewall hindurch. Die Firewall arbeitet nun aber wie eine Bridge, wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.

Ein anderer Ansatz mit gleicher Wirkung findet bei der Desktop Firewall Anwendung: Eine lokal auf dem Rechner installierte Desktop Firewall überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Rechner; im folgenden Quellsystem genannt). Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems. Dadurch verändert sich weder die Netzwerkadresse des Quellsystems, noch der Kommunikationsweg zum Zielsystem. Somit ist auch die Desktop Firewall aus Sicht der Low-Level- und IP-Adressierung praktisch unsichtbar. Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt.

Die beiden grundlegenden Firewallkonzepte

Paketfilter Firewall / Firewallrouter

Eine Paketfilter-Firewall (kurz PF) ist sehr schnell und soll Netzwerkpakete an Hand ihrer Adresse (OSI-Schicht 3) und ihres Ports (OSI-Schicht 4) sperren oder durchlassen. Dank der Header-Informationen kann sie zudem die SYN-Bits, ACK-Bits und Sequenz-Nummern der Pakete analysieren und ungültige Pakete herausfiltern. Dabei tritt sie im sichtbaren (über NAT oder PAT), transparenten oder unsichtbaren Modus in Erscheinung.

Application Level Firewall / Application Level Gateway / Proxyfirewall

Eine ALF (auch „Application Level Gateway“ / ALG oder „Proxy-Firewall“ genannt), arbeitet auf Ebene 7 im OSI-Schichtenmodell und ist somit in der Lage, in die Pakete hinein zu sehen. Das ermöglicht den Einsatz so genannter dedicated Proxies (spezialisierte Content Filter, wie z.B. SMTP-Virenscanner, http-Filter, ftp-Verbindungs- und Befehlsfilter, etc.).

Entgegen einem populären Missverständnis besteht die grundlegende Aufgabe einer Application Level Firewall nicht darin, bestimmten Applikationen (Programmen) den Zugriff zum Netz zu gewähren oder zu verbieten. Der Name Application wurde lediglich aus dem Application Layer der OSI-Schicht 7 abgeleitet.

Eine ALF tritt im sichtbaren Modus auf. Anders als bei einer Paketfilterfirewall verwenden ihre dedicated Proxies für die Adressumsetzung jedoch kein NAT. Vielmehr nehmen sie die Anfrage der einen Seite als Kommunikationspartner entgegen und bauen eine eigene Verbindung zur anderen Seite auf. Ein solcher (OSI-Schicht-7-) Proxy terminiert somit die Verbindungen auf beiden Seiten (was bedeutet, dass es sich hierbei um zwei eigenständige Verbindungen handelt), statt die Pakete einfach wie ein NAT-Gerät weiterzuleiten. Für allgemeine Paketfilter-Regeln, bei denen die Paketinhalte nicht ausgewertet werden müssen, verwendet die ALF allerdings ein Modul, welches man generischer Proxy nennt. Dieses Modul ist nichts anderes, als ein simpler Paketfilter inmitten einer ALF, meist in Form eines circuit level Proxys. Wird er aktiviert, so kann eine ALF innerhalb dieses Filters durchaus auch auf NAT – oder genauer PAT – zurückgreifen und operiert dann zusätzlich auf den OSI-Schichten 3, 4 und ggf. 5.

Die Vorteile einer ALF liegen auf der Hand: Da sie stellvertretend für den Anfragenden (Client) die Kommunikation mit dem Ziel übernimmt, bleibt die wahre Absenderadresse des Clients dem Ziel gegenüber verborgen. Mögliche Angriffe aus dem externen Netz sind so an die dafür prädestinierten Proxy gerichtet und treffen nicht direkt den Client. Als Kommunikationspartner können ihre dedicated Proxies den Inhalt der Pakete zusammenhängend analysieren, dabei Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter dienen sie auch dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen.

Demgegenüber sind die Hardwareanforderungen hier ungleich höher, als bei Paketfiltern, was anders formuliert bedeutet, dass eine ALF bei gleicher Hardware wesentlich langsamer ist, als ein Paketfilter. Die Verwendung von dedicated Proxies hat zudem den nicht zu unterschätzenden Nachteil, dass sich der Administrator sehr gut mit den zu überprüfenden Diensten auskennen muss, um vernünftige Regeln betreffs der Paketinhalte erstellen zu können. Eine ALF ist also erheblich schwerer und in der Regel unübersichtlicher zu administrieren, als eine Paketfilterfirewall, was ab einem bestimmten Punkt durchaus auch ein Sicherheitsrisiko darstellen kann.

Mischformen

Screened Gateway

Eine Paketfilter-Firewall ist sehr schnell, eine ALF sehr langsam, dafür aber gründlicher in ihrer Analyse der Pakete. Damit die ALF nicht überlastet wird, ergibt es einen Sinn, erst eine Paketfilter-Firewall aufzustellen, dahinter eine ALF und dahinter wieder eine Paketfilter-Firewall. Das hat den Vorteil, dass der Datenstrom in beiden Richtungen zuerst eine der beiden Paketfilter-Firewalls passiert. Nur die Pakete, welche die Paketfilter durchlassen, gehen an die ALF, welche zusätzliche Prüfungen durchführt. Die Paketfilter-Firewalls werden also als Vorfilter genommen, um den Datenstrom für die ALF zu verringern. Solche Systeme nennt man „Screened Gateway“.

Stateful Inspection Firewall

Der Philosophie von Screened Gateways folgend, kam Mitte der 1990er Jahre die Firma checkpoint auf eine verblüffend einfache, wenngleich geniale Idee: Warum sollte man nicht einen Paketfilter und eine ALF in einem einzigen System vereinen? Man analysiert die Pakete also erst auf der OSI-Schicht 3 (IPX-, IGMP-, ICMP- bzw. IP-Adresse) und 4 (SPX-, UDP- bzw. TCP-Port) und reicht nur die Pakete an die OSI-Schicht 7 weiter, welche die Paketfilter passieren dürfen. Das wirklich geniale daran war aber, dass checkpoint nicht vorhatte, eine schnellere ALF zu entwickeln, sondern einen wesentlich einfacher zu administrierenden Paketfilter zu erschaffen. Er sollte in der Lage sein, dynamische Portregeln auch für Protokolle zu ermöglichen, für deren Verbindungsanalyse man in die Pakete hineinsehen muss. Zudem sollte jedes Datenpaket einer bestimmten aktiven Sitzung zugeordnet und im Zusammenhang zu deren Status ausgewertet werden.

Auf der OSI-Schicht 7 wollte man also lediglich eine kurze Inspektion durchführen, um eine Art Statustabelle aller Netzwerkpakete erstellen zu können. In ihr wird der Status der Verbindung (Sitzung) gespeichert und überwacht, wie die Herkunft, das Ziel, die MAC's, die Sequenznummern, belegte Ports, verwendete Protokolle, Offsets und Verbindungsbefehle. Dadurch erkennt die Firewall Zusammenhänge zwischen den Paketen und kann aktiv auf die Beziehung zur dazu gehörenden Sitzung schließen. So gelingt es ihr nach einem Verbindungsaufbau zu erkennen, ob und wann der interne Client mit dem exteren Zielsystem kommuniziert und lässt nur dann Antworten darauf zu. Sendet das Zielsystem also Daten, die von dem internen Client nicht angefordert wurden, so blockiert die Firewall den Transfer selbst bei bestehender Verbindung zwischen Client und Zielsytem. Das unterscheidet diese Firewall massiv von einem gewöhnlichen Paketfilter.

Checkpoint nennt diesen Firewalltyp „Stateful Inspection Firewall“, kurz SIF (manchmal auch „Stateful Paket Firewall“ / SPF genannt; das Verfahren selbst nennt man auch „Stateful Packet Inspection“ / SPI). Da dieser Firewalltyp nach dem ursprünglichen Konzept lediglich auf einen generischen Paketfilter basiert, und sich so ausschließlich auf Paketfilter-Regeln konzentriert, wird eine SIF ganz klar als Paketfilter-Firewall klassifiziert. Zahlreiche Hersteller bieten für ihre SIF allerdings auch dedicated Proxies an, was definitionstechnisch ein wenig problematisch ist. Denn wird dort ein dedicated Proxy aktiviert, so ist die SIF tatsächlich keine Paketfilter-Firewall mehr und gehört dann eher in die Rubrik „Proxy-Firewall mit zusätzlicher SPI-Analyse“. Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen, wodurch eine SIF in der Praxis nur zum Teil der Definition einer „Paketfilter-Firewall“ gerecht wird.

sonstiges

Air Gaps / Split Reverse Proxies

Software ist nur selten fehlerfrei. Zudem können menschliche Fehler bei der Konfiguration unnötige Sicherheitsrisiken bergen. Für Systeme, die wirklich sicher von der Außenwelt geschützt werden müssen, können Air Gaps (auch „Split Reverse Proxy“ genannt) helfen, diese Lücke zu füllen: Sie realisieren eine vollständige physikalische Trennung der Systeme, so dass nur noch eine indirekte Kommunikation zwischen den Netzen möglich ist. So nimmt ein externer Server aus dem unsicheren Netzwerk eine Anfrage z.B. aus dem Web entgegen. Er entfernt alle TCP/IP-Header und legt den Paketinhalt z.B. über eine SCSI-Verbindung auf eine Speicherbank des Air Gaps. Danach löst er über einen digital angesteuerten Switch eine Umschaltung des Air Gaps aus. Der exklusive Zugriff auf die Speicherbank des Air Gaps liegt nun beim Server aus dem sicheren Netz. Er liest den Speicher aus, entschlüsselt das Datenpaket und führt eine umfangreiche, inhaltliche Überprüfung durch. Ist die Anfrage zulässig, wird sie weitergeleitet.

Dieses Konzept ist gegenüber Protokollangriffen unempfindlich. Da keine Adressierung der Systeme im sicheren Netz möglich ist (Eliminierung der OSI-Schicht 3), werden Angriffe, die eine direkte Kommunikation mit dem Zielsystem voraussetzen, scheitern. Der überwiegende Teil der bisher bekannten Exploits sind dadurch wirkungslos. Selbst wenn die Übertragung einer Malware über diesen Weg gelingen sollte, kann diese keine vertraulichen Inhalte an den Absender übertragen, solange kein geeigneter Rückkanal zur Verfügung steht, was mithilfe eines Air Gaps garantiert werden kann. Zudem können die Authentifikationsvorgänge vom unsicheren Webserver auf den Air Gap-Server im sicheren Netz verlagert werden. Die SSL-Zertifikate verbleiben ebenfalls im sicheren Netz und liegen nicht in der unsicheren, demilitarisierten Zone (DMZ) einer klassischen Firewallarchitektur.

Da es sich hierbei um ein physikalisches Konzept handelt, eine Firewall aber eine Softwarelösung darstellt, gehören Air Gaps nicht zu den Firewalls. Dennoch werden sie mitunter im Kontext zur Firewall erwähnt.

Siehe auch

WebLinks (externe Links)

  • Eine umfangreiche, technische Erklärung zu Firewalls und deren Konzepten findet man bei wikipedia
  • Einen speziellen Artikel zu Stateful Packet Inspection findet sich ebenfalls bei wikipedia
  • win32sec von dingens.org deaktiviert potentiell für Angriffe gefährdete Netzwerkdienste auf einem Windowssystem