Firewall FAQ

Was kann welche Firewall

10.07.2023
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Firewalls gehören zu den grundlegenden und wichtigsten IT-Sicherheitsmaßnahmen für Unternehmen. Wir stellen die bekanntesten Arten und ihre Unterschiede vor.

Seit ihrer Einführung in den späten 1980-er Jahren hat sich die Firewall stetig weiterentwickelt. Der Security-Klassiker gilt immer noch als essenzieller Bestandteil für den Schutz gegen Angriffe auf das Unternehmensnetzwerk. Erfahren Sie, wie eine Firewall funktioniert und worin sich die verschiedenen Varianten unterschieden.

Eine Firewall entscheidet anhand von Regeln, welcher Traffic das geschützte Netzwerk betreten und verlassen darf.
Eine Firewall entscheidet anhand von Regeln, welcher Traffic das geschützte Netzwerk betreten und verlassen darf.
Foto: nasti23033 - shutterstock.com

Firewall - Eine Definition

Ganz allgemein ist eine Firewall ein Netzwerk-Gerät, das Pakete überwacht, die in das Netzwerk hinein- oder hinausgehen. Ist eine Firewall auf einem Rechner installiert, spricht man von einer Personal- oder Desktop-Firewall. Sitzt sie nicht auf dem zu schützenden System selbst, sondern auf einem eigenen Gerät im Netzwerk, spricht man von einer externen Firewall. Andere Bezeichnungen sind Netzwerk- oder Hardware-Firewall.

Firewalls blockieren oder gewähren den Daten-Transit basierend auf definierten Regeln, die entscheiden, welcher Traffic erlaubt ist und welcher nicht. So wehren sie Angriffe von außen über offene Ports auf einen Rechner oder ein Netzwerk ab. Darunter fallen beispielsweise Internet-Würmer wie SQL Slammer, Sasser etc. Zudem blockieren Firewalls schädlichen Traffic von innen nach außen, wenn beispielsweise eine Malware, die trotz allen Gegenmaßnahmen intern Fuß gefasst hat, Kontakt zu einem Kontroll-Server aufnehmen möchte.

Über die Jahre haben sich vielfältige Arten von Firewalls entwickelt. Sie wurden zunehmend komplexer und nutzen eine größere Anzahl Parameter, um zu entscheiden, ob Traffic passieren darf. Moderne Varianten werden meist als Next Generation Firewalls (NGFW) bezeichnet. Sie beinhalten etliche Features, die über Filtertechniken hinausgehen.

Ursprünglich kamen Firewalls als Wächter an den Grenzen zwischen vertrauenswürdigen Netzwerken, und solchen, denen nicht vertraut wird, zum Einsatz. Mittlerweile nutzen Unternehmen sie auch, um interne Netzwerksegmente wie das Rechenzentrum gegen andere Segmente des Unternehmensnetzwerks abzuschirmen.

Bereitgestellt werden Netzwerk-Firewalls normalerweise als Hardware-Appliances. Sie sind aber auch als virtuelle Varianten erhältlich, so dass sie als Software auf eigener Hardware installiert werden.

Proxy-basierte Firewall

Diese Firewall-Art fungiert als Sicherheitsschleuse zwischen Anwendern, die Daten anfordern, und der Quelle dieser Daten. Daher wird sie oft auch als "Gateway Firewall" bezeichnet. Sie ist ein Stellvertreter (Proxy) zwischen den zu schützenden Ressourcen und anderen Netzwerken wie dem Internet und prüft sämtlichen Austausch zwischen beiden.

Will beispielsweise ein externes Gerät über das Internet auf eine Ressource im geschützten Netzwerk zugreifen, läuft diese Anfrage über die Firewall. Gerät und Netzwerk kommunizieren nie direkt miteinander. Die Anfrage des Geräts wird von der Firewall abgefangen und die übertragenen Pakete geprüft. Die Firewall kann sie filtern, um Richtlinien anzuwenden und den Ort des Empfängergerätes zu maskieren. Anschließend baut sie eine separate sichere Verbindung zwischen sich und der Zielressource auf. Die Antwort von innerhalb des Netzwerks geht ebenfalls in zwei Etappen über den Proxy an das externe Gerät zurück. Damit schützt er das Empfängergerät und das Netzwerk selbst.

Der Vorteil einer Proxy-Firewall liegt darin, dass Geräte nie direkt mit dem Netz verbunden sind. Die Firewall hat ihre eigene IP-Adresse, über die ausschließlich von außen kommuniziert wird. Daher gilt diese Art der Firewall als eine der sichersten. Nicht nur die Netzwerkadresse und Portnummer eines ankommenden Datenpakets werden untersucht, sondern die Netzwerkpakete als Ganzes. Daher besitzen Proxy-Firewalls meist auch umfangreiche Logging-Funktionen. Das macht sie bei einem Sicherheitsvorfall zu einer wertvollen Ressource für Administratoren, da sich Log-Daten gut auswerten lassen.

Auf der anderen Seite kann die Performance leiden, da sich Verzögerungen ergeben, wenn die Firewall andauernd eingehende Verbindungen kappt, neu aufbaut und filtert. Das wiederum macht es unmöglich, manche Anwendungen über die Firewall zu nutzen, da die Antwortzeiten zu langsam sind. Es kann zudem sein, dass die Firewall von vornherein nur bestimmte Netzwerkprotokolle und damit auch nur bestimmte Anwendungen unterstützt. Da sämtlicher Traffic über die Firewall läuft, wird sie zudem zu einer Art Single Point of Failure (SPoF), deren Ausfall das ganze Netzwerk lahmlegen kann.

Stateful Firewall

Um die Performance-Nachteile der Proxy-Firewall in den Griff zu bekommen, entwickelte der IT-Security-Anbieter Check Point in den frühen 1990-er Jahren die Stateful Firewall. Anstatt jedes einzelne Paket zu untersuchen, überwacht sie den Verbindungszustand - eine sogenannte Stateful Inspection. Damit verringert sich die Verzögerung.

Zu Beginn einer Verbindung prüft die Firewall in der Tiefe, ob es sich um erlaubte, sichere Pakete handelt. Stuft sie den Traffic als legitim ein, baut die Firewall eine Verbindung zum Ziel auf und lässt die Pakete passieren. Diesen Status behält sie nun im Speicher und lässt alle folgenden Pakete, die Teil dieser Kommunikation sind, ohne weitere tiefe Prüfung hindurch. Der Status beinhaltet dabei Details wie die an der Verbindung beteiligten IP-Adressen und Ports sowie die Sequenznummern der verschickten Pakete. Ungültige Pakete, die keiner existierenden Verbindung angehören, weil sie beispielsweise zu eine Denial-of-Service (DoS)-Attacke gehören, werden geblockt.

Da die Stateful Firewall alle Verbindungsinformationen - erlaubte und geblockte - in einer Tabelle in ihrem Speicher aufbewahrt, kann ein gezielter Distributed-Denial-of-Service (DDoS)-Angriff Schwierigkeiten bereiten. Unter der schieren Menge an geblockten Verbindungen, die die Tabelle bei einer solchen Attacke festhält, kann die Verarbeitung legitimer Verbindungen und damit der Service leiden.

Um dieses Risiko abzumildern, verteilen viele Unternehmen die Verarbeitung des Netzwerk-Traffics über mehrere Firewall-Appliances. Oft fällt die Wahl dabei auf Cloud-basierte Lösungen, da sie mit den Workloads mitskalieren und so einen Ausfall durch Überlastung ausschließen.

Next Generation Firewall (NGFW)

Next Generation Firewalls (NGFW) filtern Pakete zusätzlich zum Verbindungsstatus sowie Quell- und Zieldressen anhand noch weiterer Charakteristika. So beinhalten sie Regeln, was individuelle Anwendungen und Nutzer dürfen und verwenden mehr Informationen, um bessere Entscheidungen darüber zu treffen, ob Traffic erlaubt wird.

Viele NGFW vereinen heute Sicherheits-Funktionen in sich, die traditionell von anderen Lösungen erbracht wurden. Darunter fallen beispielsweise:

  • Intrusion Prevention Systems (IPS) - Als separate Lösung saß das IPS meist direkt hinter der traditionellen Firewall und ergriff Maßnahmen gegen erkannte Anomalien und Angriffsmuster, die es an der Firewall vorbei geschafft hatten. Viele NGFW erweitern die klassischen IPS-Fähigkeiten durch feiner granulierte Security-Faktoren. So gleichen sie den analysierten Traffic gegen eine Datenbank bekannter Angriffsmuster ab und können unbekannte Angriffe anhand von Abweichungen vom Normalbetrieb aufdecken und verhindern. Durch die Integration des IPS in die NGFW verringert sich der Verwaltungsaufwand für die Administratoren, da es keine extra Kommunikation zwischen den Lösungen zu konfigurieren und steuern gibt.

  • Deep Packet Inspection (DPI) - Im Gegensatz zu klassischen Paketfiltern inspiziert diese Variante nicht nur den Headerteil mit Ursprung und Ziel von Paketen, sondern auch deren Dateninhalt. So prüft DPI beispielsweise, auf welche Anwendung zugegriffen wird und welche Art von Daten übermittelt werden. Aufgrund dieser Informationen lassen sich intelligentere und detailliertere Richtlinien für die Firewall definieren. Neben der Einlasskontrolle für Traffic kann DPI auch dazu eingesetzt werden, die Bandbreite einzuschränken, die bestimmte Anwendungen nutzen dürfen, oder sensible Informationen daran zu hindern, das sichere Netzwerk zu verlassen.

  • SSL/TLS-Termination - Traffic, der mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) oder seinem Vorgänger Secure Sockets Layer (SSL) kodiert ist, kann durch DPI nicht geprüft werden, da der Inhalt nicht lesbar ist. Einige NGFW bieten deshalb die Möglichkeit, diesen Traffic zu stoppen, zu entschlüsseln, zu inspizieren und schließlich eine zweite TLS/SSL-Verbindung zur Zieladresse aufzubauen. So können beispielsweise Mitarbeiter daran gehindert werden, interne Informationen aus dem sicheren Netzwerk nach außen zu schicken, während legitimer Traffic ungehindert passieren kann. Da es sein kann, dass bei der Nutzung von DPI in dieser Tiefe personenbezogene Daten automatisiert verarbeitet werden, gilt es, genau zu prüfen, was hinsichtlich des Datenschutzes nötig und möglich ist.

  • Sandboxing - Eingehende E-Mails mit Anhängen können Schadcode enthalten. Mit Sandboxing ist es einer NGFW möglich, Anhänge und jeglichen Code, den sie enthalten, in einer abgeschirmten Umgebung auszuführen und festzustellen, ob sie schädlich sind. Der Nachteil dabei ist: Sandboxing fügt der Übertragung - ähnlich wie die Proxy-Firewall - einen zusätzlichen Schritt hinzu, der mitunter viel Rechenleistung beansprucht. Daher kann hier die Performance leiden und der Traffic-Fluss verzögert werden.

Neben den genannten kann eine NGFW auch noch andere Features enthalten. So ist es möglich, Daten, die dem System noch unbekannt sind, präventiv in den Entscheidungsprozess der Firewall mit einzubeziehen. Haben Forscher beispielsweise die Signatur einer neuen Malware identifiziert, kann die NGFW diese Information beziehen und Traffic, der diese Signatur besitzt, herausfiltern.

Neueste Entwicklungen erweitern die Funktionen der NGFW kontinuierlich und implementieren beispielsweise kontextsensitiven Schutz vor Advanced Persistent Threats (ATPs) oder unterstützen explizit virtualisierte sowie Cloud-Umgebungen. Der Automatisierungsgrad steigt, so dass die IT schneller auf Bedrohungen reagieren kann und der Managementaufwand verringert wird.

Unified Threat Management (UTM)

Next Generation Firewalls waren zu Beginn nur für die Funktionen Intrusion Prevention und Deep Packet Inspection konzipiert. Alles, was darüber hinaus ging und beispielsweise Antivirus-Features beinhaltete, wurde als Unified Threat Management (UTM) bezeichnet. UTM-Geräte vereinen standardmäßig mehrere Funktionen in einer Lösung. Sie tun sich vor allem durch komfortable und einfache Installationen hervor und benötigen wenige Handgriffe bei der Konfiguration.

Auf der anderen Seite kann es passieren, dass sich eine UTM-Lösung nicht für eine individuelle Umgebung eignet oder ein Unternehmen bereits einzelne Sicherheitsprodukte im Einsatz hat, die ähnliche Leistungsmerkmale aufweisen. Dann rechnet sich die gesamte Funktionspalette des UTM nicht unbedingt. Große Firmen wiederum können an die Grenzen von UTM stoßen, wenn Sicherheitslösungen in großen Netzwerken skalieren sollen. Hier ist möglicherweise eine individuelle Lösung, die flexibel mitwachsen kann, die bessere Option.

Mittlerweile werden immer mehr Funktionen in NGFW eingebunden, so dass diese weitestgehend deckungsgleich mit UTM sind. Der markanteste Unterschied besteht darin, dass UTM weniger Durchsatz bietet als eine NGFW, dabei aber einfacher bereitgestellt und verwaltet werden kann. Eine NGFW bietet dagegen höhere Durchsatzraten und detailliertere Individualisierungsmöglichkeiten, ist aber aufwändiger im Management.

Web Application Firewall (WAF)

Diese Art der Firewall sitzt zwischen Web-Servern und dem Internet. Sie schützt vor bestimmten HTML-Angriffen wie beispielsweise Zero-Day-Exploits, SQL-Injection (SQLi), bei dem die Datenbank über eine Webanwendung ausgelesen und manipuliert werden kann, oder Cross-Site-Scripting (XSS). Letztere Methode nutzt eine Sicherheitslücke auf dem Client oder Server aus, um Schadcode in vertrauenswürdige Umgebungen einzubetten und darüber Internetseiten zu manipulieren, Browser zu übernehmen oder vertrauliche Informationen zu stehlen.

WAF sind Hardware-, Software- oder Cloud-basiert verfügbar. Es ist auch möglich, sie in Anwendungen direkt zu integrieren, um zu prüfen, ob jeder Client, der versucht einen Server zu erreichen, das auch darf. Dabei wird klassisches Black- oder Whitelisting erkannter Muster verwendet, was unter Umständen zu False-Positives führt. Aktuelle WAF-Inkarnationen nutzen unter anderem selbstlernende Funktionen, um auch bislang unbekannte Angriffe zu erkennen und abzuwehren.

Mit einer WAF kann die IT mehrere Sicherheitslücken in Anwendungen, die hinter der Firewall liegen, gleichzeitig schließen. Zudem stellt sie eine Möglichkeit dar, Altsysteme, die nicht mehr aktualisiert werden und damit anfällig sind, zu schützen.

Nachteilig ist, dass falsch oder zu restriktiv konfigurierte WAF-Filter den Betrieb stören können. Zudem werden Anwendungen, die aktive Inhalte auf Seiten des Clients einsetzen (beispielsweise JavaScript), unter Umständen schlecht unterstützt oder erfordern einen erheblichen Konfigurationsaufwand. Außerdem kann der Einsatz einer WAF dazu führen, dass bei der Anwendungsentwicklung die Sicherheit vernachlässigt wird. Eine Firewall ist jedoch kein Ersatz für eine sichere Anwendung.