3 Komponenten des Netzwerksicherheitssystems
3.2 Firewall

Eine Firewall ist ein typischer Mechanismus zur Grenzkontrolle oder Verteidigung am Perimeter. Der Zweck einer Firewall besteht in der Vorbeugung eines unbefugten Zugriffs auf das Netzwerk oder vom Netzwerk durch Sperren des unerwünschten Uplink- und Downlink-Verkehrs.

Alle Daten, die ins Netzwerk eingehen oder davon abgehen, werden durch die Firewall geprüft. Darin wird jedes Paket überprüft und diejenigen werden gesperrt, die die eingestellten Sicherheitskriterien nicht bestanden haben. Firewalls können sowohl in Hard- als auch Software, oder in einer Kombination der beiden implementiert werden [8].

Firewalls setzen die Sicherheitsgrundsätze einer Firma durch Begrenzung des Zugriffs auf spezifische Netzwerkressourcen durch. In einer Analogie der physischen Sicherheit kann man sich eine Firewall als Äquivalent des Schlosses an der Außen- oder Innentür eines Gebäudes vorstellen - sie ermöglicht einen Zugang nur den autorisierten Benutzern, d. h. Benutzern mit dem entsprechenden Schlüssel oder Zugangskarte. Firewalls sind auch in Varianten für Heimeinsatz erhältlich. Die Firewall schafft eine schützende Schicht zwischen dem Netzwerk und der Außenwelt. Eigentlich repliziert die Firewall das Netzwerk gleich bei seinem Eingang, so dass sie autorisierte Daten ohne eine erhebliche Verzögerung empfangen und senden kann. Es hat aber integrierte Filter, um das Eindringen von unautorisierten oder möglicherweise gefährlichen Daten in das reale System nicht zu gestatten. Firewalls bieten auch eine wichtige Funktion des Einloggens und Audits. So können Netzwerkadministratoren einen guten Überblick über den Typ/Umfang des Verkehrs, einschließlich der Einbruchversuche, haben.

Das Nationale Institut für Standards und Technologie (NIST, National Institute of Standards and Technology) 800-41, [9] teilt Firewalls in drei grundlegende Typen auf: Paketfilter, zustandsorientierte Paketüberprüfung und Proxy-Firewall. Diese drei Kategorien sind jedoch nicht voneinander unabhängig und die meisten modernen Firewalls haben Eigenschaften, dank deren sie in mehr als eine der oben angeführten Kategorien angeordnet werden können.

Die Paketfilter-Firewalls sind im Prinzip Routing-Geräte, die Zugriffrechte für Systemadressen und Kommunikationssitzungen verwalten können. Sie können daher auch den Netzwerkverkehr filtern, je nach Charakteristik des Verkehrs. Sie werden normalerweise in den TCP/IP-Netzwerkinfrastrukturen eingesetzt. Ihre Stärke stellen Geschwindigkeit und Flexibilität dar und ihre Schwachstelle ist, dass sie nicht fähig sind, Angriffe auf spezifische Verwundbarkeiten der Anwendungen vorzubeugen (weil sie Daten auf oberen Schichten nicht untersuchen).

Die Tabelle 1 zeigt Beispiele des Regelwerks der Paketfilter-Firewall, übernommen von [9]

Quellenadresse

Quellenport

Zieladresse

Zielport

Aktion

Beschreibung

1

beliebig

beliebig

192.168.1.0

> 1023

erlauben

Erlauben der Rückkehr von TCP-Anschlüssen ins interne Subnetz

2

192.168.1.1

beliebig

beliebig

beliebig

verboten

Verhindern des direkten Anschlusses der Firewall

3

beliebig

beliebig

192.168.1.1

beliebig

verboten

Verhindern des direkten Zugriffs der externen Benutzer auf das Firewallsystem

4

192.168.1.0

beliebig

beliebig

beliebig

erlauben

Erlauben des Zugriffs der internen Benutzer auf externe Server

5

beliebig

beliebig

192.168.1.2

SMTP

erlauben

Erlauben des Sendens der E-Mails von externen Benutzern

6

beliebig

beliebig

192.168.1.3

HTTP

erlauben

Erlauben des Zugriffs der externen Benutzer auf WWW-Server

7

beliebig

beliebig

beliebig

beliebig

verboten

Alles, was vorher nicht erlaubt wurde, wird explizit verboten

Die Firewalls mit der zustandsorientierten Paketüberprüfung, die auch als dynamische Paketfilterung bezeichnet werden, überwachen den Zustand der aktiven Anschlüsse und verwenden diese Information, um zu bestimmen, welche Netzwerkpakete durch die Firewall durchgehen können. Diese Firewalls analysieren die Pakete bis zur Anwendungsschicht. Durch Aufzeichnung der Sitzungsinformationen, wie IP-Adressen und Portnummern, kann die dynamische Paketfilterung ein viel strengeres Sicherheitsausmaß implementieren und durch Überprüfen bestimmter Werte in den Protokollheadern den Zustand jedes Anschlusses für eine gegebene Zeitdauer verfolgen. Die abgehenden Pakete, welche spezifische Typen der eingehenden Pakete erwarten, werden von der Firewall verfolgt und nur den eingehenden Paketen, die eine richtige Antwort darstellen, wird eine Übertragung durch die Firewall erlaubt. Jedes neue Paket wird mit der Zustandstabelle der Firewall verglichen, um einen eventuellen Widerspruch des Paketzustandes mit dem erwarteten Zustand festzustellen. Die traditionellen Firewalls mit einer zustandsorientierten Paketüberprüfung prüfen die Nützlichkeit der Daten der Netzwerkpakete nicht. Sie haben nicht einmal eine ausreichende Intelligenz zum Unterscheiden eines Typs des Webverkehrs von dem anderen (legitime Anwendungen von Angriffen).

Proxy-Firewalls oder Anwendungsgateway-Firewalls stellen eine ziemlich neue Ergänzung der etablierten Sicherheitsumgebung dar. Sie kombinieren die zustandsorientierte Paketüberprüfung mit tiefen Anwendungskontrollen. So wird eine Analyse der Anwendungsschicht-Protokolle, wie HTTP und FTP, und Verfolgung des Verkehrs ermöglicht, um das Verhalten der gutartigen Protokollaktivität mit den beobachteten Ereignissen zu vergleichen und damit Abweichungen (Zeichen eines möglichen Angriffes) zu identifizieren. Dies ermöglicht der Firewall, den Zugriff aufgrund des Verhaltens der Anwendung im Netzwerk zu erlauben oder zu verbieten.

NGFW (Next-Generation Firewall) ist eine integrierte Netzwerkplattform, die eine traditionelle Firewall mit weiteren Netzwerkgeräten mit der Filterfunktionalität, wie Proxy-Firewall, kombiniert. Sie verwendet DPI (engl. Deep Packet Inspection), Systeme zur Vorbeugung der möglichen Angriffe IPS (engl. Intrusion Prevention System) und/oder weitere Techniken, wie SSL- (engl. Secure Socket Layer) und SSH-Abhören (engl. Secure Shell), Filterung von Webseiten, Management der Dienstgüte (QoS, engl. Quality of Service) und Bandbreite, Antivirenkontrolle und Integration von Produkten der Dritten (z. B. Active Directory) [10]. Diese Techniken stellen eigentlich eine Form der vereinigten Bedrohungsabwehr UTM (engl. Unified Threat Management) dar. Der Hauptnachteil der NGFW ist, dass sie üblicherweise selbstständige interne Module zur Sicherstellung der einzelnen Sicherheitsfunktionen verwenden. Dann kann ein Paket mehrmals von unterschiedlichen Modulen überprüft werden, bevor es schließlich ins Netzwerk eingehen kann. Diese mehrfache Verarbeitung erhöht die Verzögerung, welche die Netzwerkleistung beeinflussen kann.