Firewall

Eine Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“), auch Sicherheitsgateway, Netzwerk-, oder Hardware-Firewall genannt, ist eine Netzwerk-Sicherheitskomponente in der Computertechnik, die Netzwerkverkehr anhand eines definierten Firewall-Regelwerks erlaubt oder verbietet. Das Ziel einer Firewall ist, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauens-Stufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) (hohes Vertrauen) und dem Internet (kein Vertrauen) zu kontrollieren.

Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Rechner mit Netzwerkschnittstellen wie Router oder Hosts; Softwarekomponenten sind beispielsweise Paketfilter oder Proxyserver. Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Schutzsoftware nicht auf dem zu schützenden System selber arbeitet, sondern auf einer eigenen Maschine davor. Siehe auch Personal Firewall, Abgrenzung zur Hardware-Firewall.

Prinzipiell rechtfertigt nicht nur der Übergang LAN-Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Zonen Rechnung zu tragen. Beispielsweise bei einer Trennung zwischen dem Büronetz vom Netz der Personalabteilung, in dem personenbezogene Daten gespeichert sind.^[1]

Für die Konfiguration einer Firewall sollte der Administrator fundierte Kenntnisse über Netzwerkprotokolle, Routing, Netzwerk- und Informationssicherheit besitzen. Bereits kleine Fehler können die Schutzwirkung einer Firewall zunichte machen.^[2] In größeren Organisationen ist es üblich vor der Installation ein Firewall-Konzept auszuarbeiten, das die eigene Sicherheitsrichtlinie umsetzt.^[3]

Geschichte

In der Anfangszeit des Internet waren Angriffe innerhalb des Netzes weitgehend unbekannt. Erst im Jahr 1988 wurde von Robert Morris der erste wirkliche Computerwurm programmiert. Der so genannte Morris-Wurm verbreitete sich unter Ausnutzung von einigen Unix-Diensten, wie z. B. sendmail, finger oder rexec sowie der r-Protokolle. Zwar hatte der Wurm keine direkte Schadensroutine, trotzdem legte er wegen seiner aggressiven Weiterverbreitung ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes.^[4] Die ersten Packet Filter wurden im Jahr 1985 von Cisco in ihre Router eingebaut.^[5] Die erste Studie über das Filtern von Netzwerkverkehr wurde im Jahr 1988 von Jeff Mogul veröffentlicht.^[6]

Firewalltypen

Netzwerk-Firewall

Üblicherweise wird ein Gerät Netzwerk- oder Hardware-Firewall genannt, wenn es sich um ein dediziertes Gerät handelt, das mindestens zwei Netze voneinander trennt. Diese Geräte sind auch üblicherweise mit dem Begriff „Firewall“ gemeint. Die Hardwarekomponente besitzt mehrere Netzwerkschnittstellen (üblicherweise zwischen 3 und 20), an denen jeweils die zu trennenden Netze angeschlossen sind. Dabei unterscheidet man grob drei Netzwerkzonen:

externe Netze (WAN), meist das Internet, aber auch Kundennetze. Diese gelten als nicht vertrauenswürdig (kein Vertrauen).
die sogenannte demilitarisierte Zone (DMZ), in der vom externen Netz aus erreichbare Server beherbergt sind (wenig Vertrauen).
das interne Netz (LAN), welches als vertrauenswürdig gilt (hohes Vertrauen).

Größere Firmen besitzen oft mehrere Firewalls und DMZs mit jeweils unterschiedlichen Rechten, z. B. um die leichter angreifbaren Web- und Mailserver von den Servern mit den Daten für die Außendienstmitarbeiter zu trennen. Ebenso werden oftmals unterschiedliche Diensttypen, sofern sie auf unterschiedlicher Hardware untergebracht sind, in unterschiedlichen DMZs platziert. Die Verwendung von mehreren DMZs begrenzt die Möglichkeiten des Angreifers bei der Kompromittierung einer einzelnen DMZ. Im Extremfall geht dies bis zu einer kompletten Abschottung einer DMZ vom LAN (= Verbindung nur zum WAN).

Beim Aufbau einer Netzwerk-Firewall gibt es die Möglichkeit eine Firewall-Appliance zu benutzen (z. B. Cisco PIX oder Astaro Security Gateway), die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software bieten. Die andere Möglichkeit ist, auf einer geeigneten Maschine die Firewall-Software (beispielsweise Check Point-Firewall 1 oder IPCop zu installieren und das Betriebssystem selber zu härten.^[7]

Personal Firewalls

Hauptartikel: Personal Firewall

Personal Firewalls oder auch Desktop/Software-Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Somit ist diese Art von Firewall nicht dafür gedacht, den Verkehr zwischen mehreren Netzen zu kontrollieren, sondern bestimmten Verkehr nicht in den lokalen Rechner hinein- oder hinauszulassen. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch oder nach Benutzerkennungen zu filtern. Die Schutzwirkung von Personal Firewalls ist umstritten, da sie einerseits unerwünschten Datenverkehr erschweren, andererseits auch durch Fehler im eigenen Code den Rechner unsicher machen könnten.^[8]^[9]

Firewall-Technologien

Eine Firewall kann mit verschiedenen Methoden erwünschten von unerwünschtem Netzwerkverkehr unterscheiden, von denen aber nicht jedes Produkt alle unterstützt. Die eingesetzten Technologien sollen hier kurz beschrieben werden:

Paketfilter

Hauptartikel: Paketfilter, Firewall-Regelwerk

Die einfache Filterung von Datenpaketen anhand von Ziel-Port, Quell- und Ziel-Adresse ist die Grundfunktion aller Netzwerk-Firewalls. Die Prüfung erfolgt anhand eines vom Firewall-Administrator definierten Regelwerks. Übliche Regeln sind beispielsweise:

Aus dem Internet sind zum Mailserver in der DMZ Mail-Dienste (SMTP, POP3 und IMAP) erlaubt.
Der Mailserver darf aus der DMZ in das Internet Mails per SMTP verschicken und DNS-Anfragen stellen.
Aus dem Lokalen Netz sind Administrations-Dienste (SSH, Remote Desktop, Backup) zum Mailserver erlaubt.
Alle anderen Pakete in oder aus der DMZ werden in eine Logdatei geschrieben und danach verworfen.

Diese rudimentäre Filterung beherrschen heutzutage auch die meisten Router und gute Switches.

Stateful Inspection

Hauptartikel: Stateful Packet Inspection

Stateful Inspection (Zustandsgesteuerte Filterung) ist eine erweiterte Form der Paketfilterung. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird, und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die zustandsgesteuerte Filterung (auch als SPI oder „Stateful Packet Inspection“ bezeichnet) merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird die Verbindung selbst nicht beeinflusst.

Application-Layer-Firewall

Eine Application-Layer-Firewall beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der Netzwerkpakete (Schicht 7 / Applikationsschicht des ISO-OSI-Modell). Einige verwendete Technologien werden im Folgenden beschrieben.

Siehe auch Web Application Firewall

Content-Filter

Eine Firewall kann mit Hilfe eines Inhalts- oder Content-Filters die Nutzdaten einer Verbindung auswerten. Einsatzgebiete können zum Beispiel sein:

Herausfiltern von ActiveX und/oder JavaScript aus angeforderten Webseiten
Blockieren von Viren oder Trojanern in Webseiten
Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten)
Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern
unerwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren

Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist eventuell technisch nicht vollständig umsetzbar. Sollten beispielsweise wirklich vollständig die vertrauliche Informationen aus dem Datenverkehr zu nicht autorisierten Systemen herausgefiltert werden, so müsste erst das technische Problem gelöst werden, wie vertrauliche steganografische oder verschlüsselte Informationen erkannt und gefiltert werden können.

Trotz der in aktuellen Firewall-Systemen recht einfach gestalteten Regeln kann deren Ausführung sehr vielschichtig werden: Häufig müssen einzelne Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z. B. Webseiten) als Ganzes erkannt, durchsucht und eventuell verändert werden kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden.

Proxy

Hauptartikel: Proxy

Die meisten Application-Level-Firewalls setzen integrierte Proxys ein. Ein Proxy baut stellvertretend (engl. proxy = Stellvertreter) für die LAN-Clients die Verbindung zum Ziel-Server auf. Für den Server ist als Absender nur die IP-Adresse des Proxys und nicht die des Clients sichtbar. Die Struktur des LANs ist damit aus dem Internet nicht erkennbar.

Die Clients fordern Inhalte beim Proxy an. Dieser holt sie bei Bedarf aus dem Internet oder direkt aus seinem Cache (Zwischenspeicher). Da die Inhalte dabei vollständig auf dem Proxy zwischengespeichert werden, können sie entsprechend analysiert werden, zum Beispiel durch Virenscanner und Content-Filter. Firewall-Systeme unterscheiden sich stark in der Anzahl und Art der von Proxys unterstützten Protokolle (z. B. HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) sowie ggf. vorhandenen Konfigurationsmöglichkeiten für diese Proxys. Viele Firewalls mit Proxy können darüber hinaus unerwünschte Protokolloptionen verbieten, etwa in einer SMTP-Transaktion kein BDAT, VRFY o. Ä. zulassen.^[10]

Wird ein eigenständiger Proxy-Server verwendet, kann die Firewall nicht mehr anhand der IP-Adressen erkennen, ob eine Verbindung legitim ist oder nicht, da als Absender der Proxy erscheint. In diesem Fall kann durch Access Control Lists (ACL) oder Authentifizierung auf dem Proxy der Zugang gesteuert werden.

Intrusion Detection und Intrusion Prevention Systeme

Hauptartikel: Intrusion Detection System und Intrusion Prevention System

„Intrusion Detection Systeme“ (IDS) und „Intrusion Prevention Systeme“ (IPS) werden immer öfter in Firewalls integriert. Beide erkennen einen Einbruchsversuch anhand von Kommunikationsmustern. Der Unterschied ist, dass ein IDS den Angriff nur erkennt (Detection (engl.) = Erkennen) und ein IPS (Prevention (engl.) = Abwehren) den Versuch auch gleich blockiert. Darüber hinaus bieten manche Systeme die Möglichkeit eine temporäre Firewall-Regel anzulegen, die alle weiteren Verbindungsversuche von der angreifenden IP-Adresse blockiert. Diese Methode ist anfällig für einen Denial of Service gegenüber legitimen IP-Adressen, wenn der Angreifer gefälschte Absender-Adressen benutzt.

Network Address Translation

Hauptartikel: Network Address Translation

Die meisten Firewalls ermöglichen es, mit Hilfe von Network Address Translation (NAT) oder Masquerading mehrere Rechner über einen Router mit dem Internet zu verbinden. Primäres Ziel dabei ist es, mit einer öffentlichen IP-Adresse mehrere Computer mit privaten IP-Adressen (z. B. aus den Netzen 192.168.0.0/16 oder 10.0.0.0/8) den Zugang ins Internet zu ermöglichen. Man kann dies nur als rudimentäre Sicherheitstechnik ansehen, da die Rechner aus dem LAN geschützt werden, indem ein Zugriff aus dem Internet auf diese Rechner nicht ohne weiteres möglich ist. Dieser Schutz lässt sich umgehen, wenn die NAT-Software versucht einzelne Verbindungen einander zuzuordnen wie dies beispielsweise für FTP und SIP notwendig ist. Das Schutzniveau eines Paketfilters wird durch NAT also nicht erreicht.^[11]^[12]

Weitere Funktionen und Aspekte

Anti-Spoofing (Ingress filtering)

Eine wichtige Funktion von Firewalls ist das Verhindern von IP-Spoofing. Da die Filterung sich wesentlich an den IP-Adressen orientiert, muss so gut wie möglich sichergestellt werden, dass diese nicht gefälscht sind. Firewalls mit Anti-Spoofing Funktionalität bieten daher die Möglichkeit, bestimmten Netzwerk-Schnittstellen bestimmte IP-Adressen und Netze zuordnen zu können. Der Internet-Schnittstelle werden dann automatisch alle IP-Adressen, außer den anderweitig genutzten, zugeordnet. IP-Pakete, die an einer falschen Schnittstelle ankommen, werden protokolliert und verworfen. Firewalls mit Internetanbindung können auf der Internet-Schnittstelle alle Pakete von und an Private IP-Adressen (RFC 1918) verwerfen, da diese im Internet sowieso nicht geroutet werden. Dadurch ist ein IP-Spoofing mit diesen Adressen aus dem Internet ausgeschlossen. Obwohl die Zuordnung von IP-Netzen zu bestimmten Netzwerk-Schnittstellen eigentlich eindeutig sein sollte, treten in der Praxis manchmal Probleme auf mit Dual homed host und Routing-Loops (Pakete die auf Hin- und Rückweg unterschiedliche Routen nehmen).

Authentifizierung

Da der Filterung anhand von IP-Adressen wegen potenziellem IP-Spoofing niemals vollständig vertraut werden kann, bieten manche Firewalls die Möglichkeit sich zu authentifizieren und erst dann bestimmte Regeln zeitbeschränkt freigeschaltet zu bekommen. Für eine starke Authentifizierung bietet zum Beispiel die Check Point Firewall-1 die Kompatibilität zu den SecurID-Token der Firma RSA Security.

Hochverfügbarkeit

Durch die Bedeutung des Internets sind Firewalls in vielen Firmen mittlerweile zu kritischen Netzwerk-Komponenten geworden und stellen teilweise sogar einen Single Point of Failure für wichtige Geschäftsprozesse dar. Daher wird durch Hochverfügbarkeits-Techniken wie Failover- oder Cluster-Betrieb versucht, das Risiko eines Ausfalls zu reduzieren.^[13] Ein weiterer Vorteil dieser Techniken ist, dass einzelne Firewalls zu Wartungszwecken oder für Software-Updates abgeschaltet werden können, ohne die Verbindung zu unterbrechen. Zur Umsetzung werden oft die gleichen Lösungen wie bei hochverfügbaren Routern eingesetzt (beispielsweise HSRP, VRRP oder CARP) oder spezielle Produkte wie Rainwall von EMC2. Für den Failover-Fall gibt es zwei Möglichkeiten, wie die übernehmende Stateful Inspection-Firewall mit den bestehenden Verbindungen umgeht. Eine Methode ist, dass alle Firewalls permanent ihre dynamische Verbindungstabellen untereinander synchronisieren, damit ist jede Firewall in der Lage alle Verbindungen korrekt zuzuordnen. Das andere Verfahren arbeitet ohne Abgleich, aber alle bestehenden Verbindungen werden nach dem Wechsel von der übernehmenden Firewall nochmals gegen das Regelwerk geprüft. Diese Lösung ist einfacher, bereitet aber Probleme bei komplexen Protokollen wie passivem FTP. Da die hierbei ausgehandelten Ports für die Daten-Verbindungen zufällig sind, kann die übernehmende Firewalls diese Pakete keiner Regel zuordnen und wird sie verwerfen.

Eine Synchronisation der Verbindungstabellen bieten unter anderem die Firewalls von Check Point, OpenBSD (über pf_sync) und Linux (über ct_sync).

Virtual Local Area Networks

Moderne Firewalls unterstützen Virtual Local Area Networks (VLANs), d. h. an einer physischen Netzwerkschnittstelle lassen sich über einen entsprechend konfigurierten Switch mehrere logische Netze erreichen. Dadurch lassen sich an die Firewall mehr Netze anschließen, als das physikalische Limit an Netzwerk-Interfaces erlaubt. Die Benutzung von VLANs ist auch billiger, als weitere Netzwerkschnittstellen für die Firewall zu kaufen. Ein weiterer Vorteil ist, dass die Verbindung neuer Netze allein durch eine Konfiguration von Firewall und Switch möglich ist, es müssen keine neuen Kabel gezogen werden. Dem steht der Nachteil gegenüber, dass die Trennung der verschiedenen Netze nicht mehr allein unter der Hoheit der Firewall liegt, sondern auch auf dem eingesetzten Switch beruht. Sicherheitsprobleme könnten auftauchen, durch einen falsch konfigurierten Switch, einer fehlerhaften Implementierung der VLAN-Trennung oder durch einen Einbruch in die Administration des Switches.

Routing und Multicast

Obwohl es möglich ist manche Firewalls als Bridge zu betreiben (transparente Firewall), funktionieren die meisten als Router. Wird eine Firewall transparent betrieben, kann sie nicht von traceroute oder ähnlichen Werkzeugen angezeigt werden. Sie selber ist schwerer angreifbar, da ein Angreifer keine IP-Adresse hat, mit der er sie adressieren kann. Die Routing-Funktionalität hängt vom eingesetzten Betriebssystem ab, genauso die Routing-Protokolle (z. B. RIP oder OSPF) die benutzt werden können. Diese kommen normalerweise nur zum Einsatz, wenn dies unbedingt nötig ist, da sie das System im Gegensatz zu einer statischen Routingtabelle eher angreifbar machen.

Genauso wie das Routing hängt die IP-Multicasting-Fähigkeit einer Firewall vom Betriebssystem ab. Die Regeln werden ganz normal mit den Multicast-Adressen (224.0.0.0–239.255.255.255) eingetragen. Weitere Aspekte sind in RFC 2588 beschrieben.

Komplexe Protokolle

Voice over IP und Videokonferenzen

Voice over IP (VoIP) und Videokonferenzen sind für Stateful Firewalls nicht trivial da meist mehrere verschiedene Protokolle (z. B. für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind. Manche kommerzielle Firewalls verstehen die VoIP-Protokolle (SIP oder Skinny) und sind daher in der Lage Ports dynamisch zu öffnen.

Siehe auch Session Initiation Protocol (SIP)

File Transfer Protocol (FTP)

FTP ist zwar ein ziemlich altes, aber für Firewalls schwieriges Protokoll. Insbesondere der „Active Mode“, bei dem zusätzlich zur Steuerverbindung auf Port 21 eine weitere Datenverbindung quasi rückwärts vom Server zum Client aufgebaut wird, bereitet manchen Firewalls Probleme. Die rückwärts aufgebaute Verbindung lässt sich vom Betreiber des FTP-Servers theoretisch auch für Angriffe missbrauchen.^[14] Daher verbieten manche Firewall-Systeme den Aufbau der Datenverbindung auf Portnummern, die für andere Dienste bekannt sind. Dies hat den Vorteil, dass die Anfälligkeit gegenüber einem Missbrauch der Datenverbindung für Angriffe reduziert wird. Typische Symptome einer Firewall, die Probleme mit FTP hat, ist eine funktionierende Navigation durch die Verzeichnisse, aber Verbindungsabbrüche ohne Fehlermeldung bei der Datenübertragung. Die oben genannten Probleme treten nicht auf bei FTP im „Passive Mode“ (Konfigurierbar im FTP-Client oder durch Eingabe von „PASV“ in Kommandozeilen-Clients) oder bei Verwendung des verschlüsselten SCP.

Fehlersuche

Die Fehlersuche in einem großen Netzwerk kann sehr komplex werden. Häufige Fehler sind z. B., dass eine Firewall-Regel IP-Adressen enthält, die durch eine NAT-Verbindung oder ein VPN geändert wurden. Je nach eingesetzter Firewall-Software und Betriebssystem unterscheiden sich die Möglichkeiten zur Fehlersuche. Anhand der Logdateien können falsche Firewall-Regeln oder IP-Spoofing erkannt werden. Mit Werkzeugen wie beispielsweise tcpdump oder snoop unter Solaris lässt sich der aktuellen Netzwerk-Verkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen. Des Weiteren bieten manchen Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B. bei Check Point FW1 mit „fw monitor“).

Bei einem Firewall-System im Cluster-Betrieb sind Logdateien nützlich, um festzustellen, welche Maschine die fehlerhafte Verbindung überhaupt bearbeitet. Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung. Neben den Möglichkeiten der Firewall sind Werkzeuge wie ping, nmap oder traceroute hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B. im Routing oder das der Ziel-Port gar nicht geöffnet ist.

Weitere Features von Firewalls

Schutz vor SYN-Flooding, z. B. durch SYN-Cookies
Verwerfen von Fehlerhaften Paketen (z. B. widersprüchliche TCP-Flags)
Schutz vor Ping of Death, Smurf-Attacke, Teardrop oder Land-Attacken
Endpunkt für VPN-Verbindungen
Berücksichtigung von Quality of Service bei der Verarbeitungspriorität
Channelling / Link Aggregation um mehrere physikalische Interfaces zu einem schnellen logischen Interface zusammenzufassen, beispielsweise zwei 100MBit Interfaces zu 200Mbit.

Beispiel einer einfachen Firewall-Umgebung

Datei:Konzeptioneller Aufbau einer Firewall.png

Beispiel einer Firewall zwischen lokalem Netz und Internet

Ein einfacher Firewall-Aufbau soll die Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr dürfen die Arbeitsplatz-PCs nicht auf Webseiten zugreifen. Damit auch eine Recherche im Internet möglich ist, gibt es einen dedizierten Surf-Rechner, der über einen Proxy-Zugriff zu Webseiten erhält. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird. Die Arbeitsplatz-PCs dürfen nur Verbindungen zu dem Mail-Server der Firma aufbauen.

Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden. Wichtig ist, dass in dieser Konstellation die Arbeitsplatzrechner selbst keinerlei direkte Verbindung zum Internet aufbauen können. Damit können einmal eingeschleuste Schadprogramme sich nur weiter verbreiten oder weitere Schädlinge aus dem Internet nachladen, wenn sie über den Proxy oder den Mailserver einen Weg finden.

Das Firewall-Regelwerk eines Systems mit Stateful Inspection würde in diesem Beispiel folgendermaßen aussehen:

Die Quellen 10.0.0.2 und 10.0.0.3 (Arbeitsplatzrechner) dürfen zum Ziel „Mailprovider“ per IMAP (Mails abholen) und SMTP (Mails senden) zugreifen
Quelle 10.0.0.1 (Surfrechner) darf über den Proxy auf beliebige Ziele mit den Diensten HTTP (Webseiten herunterladen) und HTTPS zugreifen (ActiveX wird dabei gefiltert)
Alle anderen Kommunikationsversuche werden verworfen

Weitere Beispiele finden sich im Artikel: Demilitarized Zone

Schwächen von Firewalls

Firewalls können in einer Sicherheitsstrategie nur vor einem Teil der Bedrohungen schützen. Da sie nur den Netzwerkverkehr an wenigen Stellen filtern, bieten sie keinen Schutz vor Schädlingen, die über Laptops, USB-Sticks oder Disketten in das interne Netz gebracht werden. Die Computerwürmer Sasser und W32.Blaster haben durch Ausbrüche in großen Firmen wie der deutschen Postbank und Delta Air Lines gezeigt, dass diese Infektionswege real funktionieren.^[15]

Durchtunnelung von Firewalls

Das Durchtunneln ist eine Methode um die Kontrolle einer Firewall zu umgehen, meist von einem sicheren Netz in ein unsicheres Netz. Dies kann durch einen SSH- oder OpenVPN-Tunnel innerhalb einer legitim freigeschalteten Verbindung geschehen. Sowohl OpenVPN als auch viele SSH-Clients (z. B. Putty) sind in der Lage einen Tunnel über einen HTTP-Proxy aufzubauen, der eigentlich nur Webseiten weiterleiten sollte. Daneben gibt es spezielle Tunnel-Software für Protokolle wie DNS^[16] oder ICMP.

Insbesondere Skype ist ein Beispiel dafür, wie gut sich die meisten Firewalls von innen nach außen umgehen lassen.^[17] Solange die Benutzer aus dem internen Netz die Möglichkeit haben, auf Webseiten zuzugreifen, hat der Firewall-Administrator durch die Verschlüsselung technisch eigentlich kaum noch eine Chance, eine Durchtunnelung zu verhindern. Daher unterstützen viele Organisationen die technischen durch organisatorische Sicherheitsmaßnahmen, z. B. einem Verbot in der Sicherheitsrichtlinie. Ein weiteres Problem ist, dass grundsätzlich jeder Dienst auf jeder Port-Nummer funktionieren kann. Wenn im Regelwerk Port TCP 80 für HTTP freigeschaltet ist, kann darüber trotzdem ein anderes Protokoll (wie z. B. SSH) laufen. Davor schützen nur Application Layer Firewalls, die HTTP-Verkehr identifizieren und alles andere blockieren können.

Performance

Die Performance einer Firewall zu bewerten, ist nicht so einfach wie zum Beispiel bei einem Router, da die Geschwindigkeit von vielen dynamischen Faktoren abhängt. Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging). Ein einheitliches Benchmarking von Firewalls ist in RFC 2647 beschrieben.

Zur Optimierung sind folgende Maßnahmen möglich:

Mehr Hauptspeicher und/oder eine schnellere CPU.
Ausschalten von Logging für einzelne Regeln.
Unbenutzte Regeln und Routing-Einträge entfernen.
Häufig benutzte Regeln im Regelwerk nach oben stellen. Dabei ist zu beachten, dass sich dadurch die Bedeutung des Regelwerks ändern könnte.
Bei hochverfügbaren Systemen die Synchronisation der Verbindungstabelle für einzelne Regeln ausschalten. Insbesondere bei kurzlebigen HTTP-Verbindungen ist dies gut möglich.
Produktspezifische Performance-Features nutzen, wie z. B. Nokia IPSO Flows oder Check Point SecureXL.
Überprüfung, dass alle Netzwerk-Interfaces mit Full-Duplex arbeiten.
Anpassung von Netzwerk-Parametern des Betriebssystems^[18]

Produkte

Für Personal-Firewall-Produkte siehe dort

Firewall-Software

Astaro Security Linux ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
Check Point Firewall 1 ist eine kommerzielle Firewall-Applikation die auf Unix, Windows und Nokia-Appliances läuft
Endian Firewall ist eine Open Source Linux-Distribution für Firewall-Systeme.
Der Eindisketten-Router fli4l ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.
Gibraltar ist eine für Privatuser kostenlose und von CD lauffähige Linux-Distribution für Firewall-Systeme.
IPCop ist eine einfach zu bedienende Linux-Distribution, die zum Ziel hat, eine durch und durch sichere Firewall zu sein.
ipfw ist ein Paketfilter des FreeBSD-Betriebssystems, als wipfw auch für Windows-Systeme verfügbar.
Netfilter / IPTables – Paketfilter innerhalb des Linux-Kernels.
Juniper Netscreen
M0n0wall ist eine BSD basierende Firewall, die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
Microsoft Internet Security and Acceleration Server ist eine kommerzielle Firewall von Microsoft.
pf ist eine OpenSource-Firewall die ursprünglich für OpenBSD (Berkeley Software Distribution) entwickelt und später auf andere BSD-Betriebssysteme portiert wurde.
Securepoint ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
Shorewall
SME Server ist eine auf Open Source Software basierende Firewall, welche auch Serverfunktionen zum Einsatz im SOHO-Bereich enthält.
Smoothwall ist eine für Firewall-Systeme optimierte Linux-Distribution.

Firewall-Appliances

Firwall-Appliances bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software.

Astaro Security Gateway
Check Point VPN-1 Edge
Cisco PIX
Cisco Firewall Service Module (FWSM) für Catalyst Switche
Nokia bietet Netzwerk-Appliances (IP-Serie) mit dem eigenen Betriebssystem IPSO an. Diese sind für die Check Point-Software optimiert und verfügen mit VRRP bereits über eine Hochverfügbarkeitslösung
Juniper Netscreen

Siehe auch

Air Gap

Quellen

↑ BSI Grundschutzkataloge: Sicherheitsgateway (Firewall)
↑ BSI Grundschutzkataloge: Fehlerhafte Administration des IT-Systems
↑ BSI Grundschutzkataloge: Entwicklung eines Konzepts für Sicherheitsgateways
↑ RFC 1135 The Helminthiasis of the Internet
↑ Evolution of the Firewall Industry Cisco, 2002
↑ The Packet Filter: An Efficient Mechanism for User-level Network Code Jeffrey C. Mogul, November, 1987
↑ BSI Grundschutzkataloge: Geeignete Auswahl eines Paketfilters
↑ Siehe Witty-Wurm
↑ Kritische Sicherheitslücken in Symantecs Desktop Firewalls (Heise.de, 13.05.2004)
↑ BSI Grundschutzkatalog: Geeignete Auswahl eines Application-Level-Gateways
↑ Deutschland sicher im Netz: Worauf Sie beim Router-Kauf achten sollten
↑ [RFC 2663 : IP Network Address Translator (NAT) Terminology and Considerations, Section 9.0]
↑ BSI Grundschutzkataloge: Sicherheitsgateways und Hochverfügbarkeit
↑ FTP-NAT-Test
↑ Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus (Heise.de, 06.07.2005)
↑ Eine Firewall mit Hilfe eines DNS-Tunnels umgehen
↑ Jürgen Schmidt: Der Lochtrick, Wie Skype & Co. Firewalls umgehen In: c't 17/06, Seite 142
↑ Tuning Check Point Performance

Literatur

Konzeption von Sicherheitsgateways, Bundesanzeiger, ISBN 9783898175258
Lessig, Andreas: Linux Firewalls- Ein praktischer Einstieg, O’Reilly, 2006, ISBN 9783897214460
Artymiak, Jacek: Building Firewalls with OpenBSD and PF, 2nd ed. devGuide.net, Lublin, 2003, ISBN 83-916651-1-9
Barth, Wolfgang: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux. Millin-Verl., Poing, 2004, ISBN 3-89990-128-2
Lessing, Andreas: Linux-Firewalls – Ein praktischer Einstieg 2. Auflage, O’Reilly, 2006, ISBN 3-89721-446-6 (Download der LaTeX-Quellen)
Cheswick, William R. u. a.: Firewalls and internet security. Repelling the Wily Hacker. Addison-Wesley, Boston, Mass., 2003, ISBN 0-201-63466-X
Strobel, Stefan: Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X
RFC 2979 Behavior of and Requirements for Internet Firewalls

Weblinks

BSI Firewall Studie
Grundschutz durch Firewall: Orientierungshilfe und Checkliste - Landesbeauftragter für den Datenschutz Niedersachsen
computec.ch – Freie deutschsprachige Publikationen zum Thema Firewalling
Firewall im Habo-WiKi Detaillierte Konzepte und Erklärungen zum Thema Firewall

[1] BSI Grundschutzkataloge: Sicherheitsgateway (Firewall)

[2] BSI Grundschutzkataloge: Fehlerhafte Administration des IT-Systems

[3] BSI Grundschutzkataloge: Entwicklung eines Konzepts für Sicherheitsgateways

[4] RFC 1135 The Helminthiasis of the Internet

[5] Evolution of the Firewall Industry Cisco, 2002

[6] The Packet Filter: An Efficient Mechanism for User-level Network Code Jeffrey C. Mogul, November, 1987

[7] BSI Grundschutzkataloge: Geeignete Auswahl eines Paketfilters

[8] Siehe Witty-Wurm

[9] Kritische Sicherheitslücken in Symantecs Desktop Firewalls (Heise.de, 13.05.2004)

[10] BSI Grundschutzkatalog: Geeignete Auswahl eines Application-Level-Gateways

[11] Deutschland sicher im Netz: Worauf Sie beim Router-Kauf achten sollten

[12] [RFC 2663 : IP Network Address Translator (NAT) Terminology and Considerations, Section 9.0]

[13] BSI Grundschutzkataloge: Sicherheitsgateways und Hochverfügbarkeit

[14] FTP-NAT-Test

[15] Datenschutzbeauftragter von Microsoft sagt im Sasser-Prozess aus (Heise.de, 06.07.2005)

[dns_tunnel-16] Eine Firewall mit Hilfe eines DNS-Tunnels umgehen

[skype_tunnel-17] Jürgen Schmidt: Der Lochtrick, Wie Skype & Co. Firewalls umgehen In: c't 17/06, Seite 142

[18] Tuning Check Point Performance

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

Firewall

Inhaltsverzeichnis

Geschichte

Firewalltypen

Netzwerk-Firewall

Personal Firewalls

Firewall-Technologien

Paketfilter

Stateful Inspection

Application-Layer-Firewall

Content-Filter

Proxy

Intrusion Detection und Intrusion Prevention Systeme

Network Address Translation

Weitere Funktionen und Aspekte

Anti-Spoofing (Ingress filtering)

Authentifizierung

Hochverfügbarkeit

Virtual Local Area Networks

Routing und Multicast

Komplexe Protokolle

Voice over IP und Videokonferenzen

File Transfer Protocol (FTP)

Fehlersuche

Weitere Features von Firewalls

Beispiel einer einfachen Firewall-Umgebung

Schwächen von Firewalls

Durchtunnelung von Firewalls

Performance

Produkte

Firewall-Software

Firewall-Appliances

Siehe auch

Quellen

Literatur

Weblinks

Navigationsmenü

Firewall

Geschichte

Firewalltypen

Netzwerk-Firewall

Personal Firewalls

Firewall-Technologien

Paketfilter

Stateful Inspection

Application-Layer-Firewall

Content-Filter

Proxy

Intrusion Detection und Intrusion Prevention Systeme

Network Address Translation

Weitere Funktionen und Aspekte

Anti-Spoofing (Ingress filtering)

Authentifizierung

Hochverfügbarkeit

Virtual Local Area Networks

Routing und Multicast

Komplexe Protokolle

Voice over IP und Videokonferenzen

File Transfer Protocol (FTP)

Fehlersuche

Weitere Features von Firewalls

Beispiel einer einfachen Firewall-Umgebung

Schwächen von Firewalls

Durchtunnelung von Firewalls

Performance

Produkte

Firewall-Software

Firewall-Appliances

Siehe auch

Quellen

Literatur

Weblinks

Navigationsmenü

Suche