Dieser Beitrag stellt Ihnen die grundlegenden und fortschrittlichen Dienste moderner Firewall-Systeme vor. Der Anfang ist so gewählt, dass ein nicht technikaffiner Leser das vermittelte technische Fundament nicht als schwere Kost empfindet. Der technische Unterbau ist jedoch zwingend erforderlich, um in einem zweiten Schritt zu verstehen, warum das durchaus schon betagte Thema Firewall in den letzten Jahren aufgefrischt werden musste. Die gewählten Beispiele zeigen die Leistungsfähigkeit von modernen Firewall-Systemen und zeitgleich aber auch die Grenzen dieser Systeme auf.

von:

Edgar Reinke

Einführung

Netzwerk-Firewall
Dieser Beitrag soll Ihnen zeigen, welche Aufgaben eine Netzwerk-Firewall übernimmt, wie diese Systeme arbeiten und warum eine Evolution hin zu einer Next Generation Firewall erfolgen musste. Gleichzeitig wird erklärt, warum das Thema Sicherheit ganzheitlich und vor dem Kontext einer Risikobewertung zu betrachten ist. Wer das Thema Sicherheit auf den Einsatz einer Firewall reduziert, der gibt sich einer Illusion von Sicherheit hin, denn letztlich definiert sich das Thema Sicherheit weder über nur ein einziges Produkt noch über ausschließlich technische Maßnahmen.

Hinweis
An dieser Stelle sei erwähnt, dass in diesem Beitrag Produktnamen und Screenshots von konkreten Lösungen zu finden sind. Dies ist eine bewusste Entscheidung, da sich dadurch gemäß dem Sprichwort „ein Bild sagt mehr als tausend Worte” komplexe Zusammenhänge oftmals einfacher und verständlicher in Richtung Leser transportieren lassen. Dabei sind die mit Quellenangaben wiedergegebenen Lösungen nur als Beispiele ohne Empfehlungscharakter zu verstehen.

1 Firewall

1.1 Der Ursprung

Größter Vorteil und größte Schwäche
Der größte Vorteil der IT-Vernetzung – egal ob wir die Vernetzung in einem Gebäude oder das Internet als weltweit größten Netzverbund betrachten – ist leider gleichzeitig auch ihre größte Schwäche: die Erreichbarkeit der vernetzten Systeme untereinander. Während diese Erreichbarkeit an einigen Stellen erwünscht ist – z. B. der Zugriff auf die Position der Fahrzeuge eines Logistik-Unternehmens – so kann sie an anderer Stelle unerwünscht sein (z. B. eine uneingeschränkte Kommunikationsmöglichkeit der Systeme des Finanz- und Rechnungswesen eines Unternehmens mit den in das IT-Netz integrierten Prozesssteuerungsanlagen).

Insofern ist es klar, dass die Erreichbarkeit von vernetzten Systemen untereinander in einigen Fällen eingeschränkt oder sogar völlig unterbunden werden muss. Diese Aufgabe obliegt den Netzwerk-Firewalls, die im Gegensatz zu einer auf den Endsystemen installierten Firewall (diese wird als Desktop-Firewall oder auch Personal-Firewall bezeichnet) zwischen Netzbereichen eingesetzt werden. So wird z. B. der Übergang in das Internet – egal ob im privaten Umfeld oder in professionellen Netzwerkumgebungen – in den meisten Fällen über eine Firewall kontrolliert. Diese Abgrenzung hat verständliche Ziele:

1)	Welche internen Systeme dürfen auf welche externen Ressourcen zugreifen?
2)	Welche externen Systeme dürfen auf welche internen Ressourcen zugreifen?

Der Einsatz einer Firewall am Übergang zum Internet – also an der Peripherie des eigenen IT-Netzwerks – entspricht dem originären Einsatz dieser Systeme. Man spricht hier deshalb zunächst auch von einer klassischen Perimeter-Sicherheit (siehe Abbildung 1).

Abb. 1: Perimeter Security

Mittlerweile reduziert sich das Thema Firewall natürlich nicht ausschließlich auf die Sicherheit am Perimeter. Da der Grad der Vernetzung innerhalb der eigenen IT-Netze in den letzten Jahren massiv angestiegen ist, entstehen hier innerhalb dieser Netze auch Bereiche, die nicht bedingungslos einer uneingeschränkten Erreichbarkeit ausgesetzt werden können. Die Systeme zur Gebäudesteuerung oder auch Medizinprodukte sind Beispiele dafür.

Internet der Dinge
Viele Netzwerkprotagonisten sprechen mittlerweile vom Internet der Dinge und meinen damit eine enorm ansteigende Vernetzung von Systemen, die letztlich auch sehr viele Daten produzieren und für deren Transport hin zu den entsprechenden Zielsystemen IT-Netzwerke nutzen. Es ist sicherlich einsichtig, dass hier das Jeder-mit-jedem-Potenzial der IT-Netze nur noch bedingt hilfreich ist. Ein intelligenter Stromzähler (Smart Meter) ist ein Beispiel für einen vernetzten Messpunkt (also ein Beispiel für Systeme, die den Begriff Internet der Dinge motivieren), der die protokollierten Daten an den Netzbetreiber übermittelt und diesem somit eine intelligente Netz- und Ressourcensteuerung ermöglicht. Damit entfällt z. B. auch die jährliche Zählerablesung. Zur Übertragung der Daten ist natürlich ein Netzwerk erforderlich. Es ist daher verständlich, dass hier Vorkehrungen zu treffen sind, die verhindern, dass über dieses Netz auch unberechtigte Personen Ihre Daten abholen können. Wieso? Letztlich können mit diesen Daten z. B. Verbrauchsprofile erstellt werden. Insofern muss dieses Netz vor fremden Zugriffen geschützt werden, was z. B. in den Zuständigkeitsbereich einer Firewall fallen kann. Diese Maßnahme ist alleinstehend nicht ausreichend. Im einfachsten Fall versucht ein Angreifer lokal vor Ort auf den Zähler zuzugreifen. Dies ist wieder ein Beispiel dafür, dass sich eine Security-Lösung nicht über ein einzelnes Produkt oder eine einzelne Maßnahme definiert. In dem Beispiel in Abbildung 2 stellt sich die Frage, wie der Smart Meter vor einem lokalen Zugriff auf die gespeicherten Daten geschützt wird.

Abb. 2: Das Internet der Dinge.

Hyperkonnektivität
Aus der Hyperkonnektivität heraus resultiert eine Komplexität, die einem Angreifer natürlich auch mehr Angriffspunkte zur Verfügung stellt. Primär, aber nicht ausschließlich, sind dies die nachfolgenden Punkte:

•	Schwachstellen in Anwendungen
•	Schwachstellen in den Betriebssystemen
•	Schwachstellen der (mobilen) Endgeräte
•	Schwachstelle Mensch (im Sinne von Social Engineering und Überforderung)

Sicherheit beinhaltet nicht nur Technik
Eine Netzwerk-Firewall kann den Zugriff über das IT-Netzwerk von System A auf System B kontrollieren und dabei ungewünschte Zugriffe unterbinden. Im Rahmen eines Sicherheitskonzepts lassen sich mit diesem Lösungsansatz aber nicht alle Sicherheitsanforderungen adressieren. Bleibt z. B. das bei der mobilen Visite eingesetzte iPad nach der Visite versehentlich in einem öffentlich zugänglichen Bereich liegen, kann eine Firewall wohl kaum einen unberechtigten Zugriffsversuch auf die eventuell im Cache Modus lokal gehaltenen Patienteninformationen verhindern. Dieses Szenario ist auch ein gutes Beispiel, um zu verdeutlichen, dass das Thema Sicherheit nicht nur technische Komponenten (z. B. Firewall-Systeme), sondern auch organisatorische, betriebliche und rechtliche Fragestellungen beinhaltet (siehe Tabelle 1).

Tabelle 1: Nicht nur technische Lösungen

Anforderung	Technische Lösung
Der Verlust des iPads ist umgehend zu melden?	Nein
Das Personal sollte mit Blick auf die Einbindung von mobilen Endgeräten sensibilisiert werden.	Nein
Welche rechtlichen Vorschriften sind bei der mobilen Bereitstellung von personenbezogenen Daten zu berücksichtigen?	Nein
Über eine MDM-Lösung (MDM: Mobile Device Management) sind die auf dem Gerät befindlichen Daten zu löschen.	Ja
Ein Real-Time Location Service (RTLS) könnte anzeigen und melden, dass das iPad einen definierten Bereich verlässt.	Ja

1.2 Was macht eine Firewall?

Wörtlich übersetzt ist eine Firewall eine Brandschutzmauer. Durchaus angebracht ist aber auch das Bild einer Pforte mit Personenkontrolle: Hier werden an dedizierter Stelle alle Personen kontrolliert, die das Gebäude betreten oder verlassen. Gegebenenfalls wird der Durchgang verwehrt. Natürlich wird über eine Firewall keine physische Zutrittskontrolle umgesetzt. Vielmehr wird über das Regelwerk dieser Systeme festgelegt, welche Kommunikationsbeziehungen erlaubt sind.

Die Abbildung 3 ist im Rahmen einer Einführung in das Thema Firewall als Klassiker zu bezeichnen. Die Firewall wird hier am Rande des Netzwerks (Perimeter) eingesetzt und kontrolliert die folgenden Kommunikationsmöglichkeiten:

1.	Den Zugriff aus dem Internet auf Systeme in der DMZ (DMZ: Demilitarized Zone)
2.	Den Zugriff aus dem Internet auf Systeme im internen Netz
3.	Den Zugriff aus dem internen Netz auf Systeme in der DMZ
4.	Den Zugriff aus dem internen Netz auf Systeme im Internet

Abb. 3: Was macht eine Firewall?

Demilitarized Zones (DMZ)
Die Kommunikationsmöglichkeit 2 ist in der Regel so ausgelegt, dass direkte Zugriffe aus dem Internet auf Systeme im internen Netz nicht gestattet sind. Dies ist dadurch zu begründen, dass ein erfolgreicher Angriff auf ein internes System dem Angreifer eine sehr gute Ausgangsbasis für weitere Angriffe bietet, da die nun vom eingenommenen internen System ausgehenden Aktivitäten nicht mehr von der Firewall kontrolliert werden können. Diese Vorkehrung motiviert gleichzeitig die Existenz einer oder mehrerer sogenannter Demilitarized Zones (DMZ).

Eine DMZ beherbergt Systeme, die aus dem Internet heraus erreichbar sein müssen. Beispiele dafür sind Webserver, Mailserver oder auch Nameserver. Wird ein solches System erfolgreich angegriffen, können die nun vom diesem System ausgehenden Aktivitäten immer noch von der Firewall kontrolliert werden.

Mögliches Sicherheitsniveau
Das zu ermöglichende Sicherheitsniveau für die in unserer DMZ angesiedelten Systeme kann nicht von gleicher Qualität sein, wie das für die internen Systeme. Dies ist damit zu begründen, dass auf die Systeme in unserer DMZ ein externer Zugriff möglich ist. Das heißt, ein Zugriff ausgehend von einem potenziell als sehr unsicher einzustufendem Netz.

Definition DMZ
Diese Betrachtungsweise führt uns zu einer etwas allgemeineren Definition des Begriffs DMZ: Systeme mit unterschiedlichen Sicherheitsanforderungen sollten auf unterschiedliche DMZ aufgeteilt werden. Dabei ist eine DMZ ein Netzbereich, dessen externe Kommunikationsbeziehungen über eine Firewall geführt und von dieser kontrolliert werden.

Barrierefreie Kommunikation
Wie bereits erwähnt, spielt die Einschränkung einer sonst barrierefreien Kommunikation nicht nur am klassischen Perimeter eine Rolle. Ein Netzwerk kann heute durchaus in funktionale Bereiche unterteilt sein, zwischen denen eine eingeschränkte Kommunikation möglich sein muss bzw. die auch völlig autark zu sehen sind und deshalb Übergänge in andere Netzbereiche nicht erforderlich sind. Die Abbildung 4 zeigt Beispiele für solche Bereiche auf.

Abb. 4: Netzbereiche

Sicherheitsanforderungen formulieren
Wird der Einsatz einer Firewall angestrebt, dann müssen die relevanten Bereiche identifiziert und für jeden dieser Bereiche die Sicherheitsanforderungen formuliert werden:

•	Welche Bereiche dürfen barrierefrei miteinander kommunizieren?
•	Welche Bereiche sind über eine Firewall abzutrennen?
•	Welche Bereiche bleiben autark und sind damit als geschlossenes System zu verstehen?

Notwendigkeit, Bereiche durch Firewall zu trennen
Die Feststellung der Notwendigkeit, Bereiche durch eine Firewall voneinander zu trennen, ist natürlich erst einmal eine sehr grobe Feststellung. Für die Konfiguration des Regelwerks der Firewall sind detaillierte Informationen zum Kommunikationsbedarf der Systeme erforderlich. Dies stellt sich in der Praxis oft als eine Herausforderung dar, da die Kommunikationsanforderungen der Systeme nicht immer bekannt sind – weder dem Firewall-Administrator, noch der Fachabteilung.

•	Werden bezogen auf einen Bereich nur ausgehende Verbindungen benötigt, d. h., die Systeme in diesem Bereich initiieren Verbindungen, müssen aber selbst keine Verbindungen von Systemen aus anderen Bereichen annehmen.
•	Werden bezogen auf einen Bereich nur eingehende Verbindungen benötigt, d. h., die Systeme in diesem Bereich müssen Verbindungen von Systemen aus anderen Bereichen annehmen, es ist aber nicht erforderlich, dass diese Systeme Verbindungen initiieren.
•	Werden ein- und ausgehende Verbindungen benötigt.
•	Welche Dienste (z. B. http) werden ein- und/oder ausgehend angesprochen.

Netzwerkvirtualisierung
Es sollte – um auch netzwerkaffinen Lesern gerecht zu werden – nicht unerwähnt bleiben, dass die verschiedenen Bereiche natürlich auch als Mandanten verstanden und auf der gleichen physischen Infrastruktur abgebildet werden können. Das heißt, über die Netzwerkinfrastruktur bereitgestellte Möglichkeiten der Netzwerkvirtualisierung (z. B. VLANs: Virtual LANs) sorgen dafür, dass die einzelnen Bereiche auf der logischen Ebene klar voneinander isoliert sind und die Möglichkeit der Kommunikation zwischen den einzelnen Bereichen explizit über z. B. Firewall-Systeme ermöglicht werden muss.

1.3 Was ist eine Verbindung?

1.3.1 Datencontainer

An dieser Stelle soll ein einfacher, aber tragfähiger technischer Unterbau geliefert werden, auf den der Autor im weiteren Verlauf seine Erklärungen stützen kann, ohne dabei den nicht vorbelasteten Leser zu verlieren und in den Augen der technisch visierten Leser zu unscharf zu werden.

IP-Pakete
Wenn zwei Systeme – zum Beispiel Ihr Desktop-PC und ein Webserver von Google – miteinander kommunizieren möchten, dann ist zwischen den beiden Systemen eine Verbindung erforderlich. Dabei existiert zwischen diesen beiden Systemen aber weder eine dedizierte Leitung noch wird diese Verbindung im klassischen Sinne gewählt und aufgebaut. Vielmehr werden die Informationen zwischen den beiden Systemen mithilfe von Datencontainern – den sogenannten IP-Paketen (IP: Internet Protocol) – transportiert. Das Netzwerk zwischen den beiden Systemen ist der Dienstleister, der dafür sorgt, dass die IP-Pakete von Ihrem PC zum entsprechenden Webserver von Google und vice versa transportiert werden. Dies ist möglich, da die IP-Pakete mit IP-Absender- und IP-Zieladresse frankiert sind.

Nullen und Einsen
Nehmen wir einmal an, dass Sie diese IP-Pakete mit der Lupe sehen könnten. Das ist sicherlich eine abenteuerliche Vorstellung, denn letztendlich handelt es sich hierbei um eine für Sie unstrukturierte Folge von Nullen und Einsen, die sich in Form von elektrischen (Kupferleitungen) und optischen (Glasfaser) Signalen abhängig vom Material mit ca. 2/3 der Lichtgeschwindigkeit ausbreiten. Daten werden in Form einer auf den ersten Blick als unstrukturiert wirkenden Folge von Nullen und Einsen an das Netzwerk übergeben. Tatsächlich handelt es sich hier aber um eine Sequenz von Datencontainern, also einer seriellen Folge von Nullen und Einsen, mit pro Container definiertem Anfang und Ende. Somit besteht jeder Datencontainer wiederum selbst ebenfalls aus einer Folge von Nullen und Einsen, die z. B. vom Netzwerk, von einer Firewall und natürlich auch vom Empfänger interpretiert werden können.

Netzwerkkomponenten wie z. B. sogenannte Router wissen, wo innerhalb der Folge von Nullen und Einsen eines Containers die IP-Adressen von Absender und Empfänger zu finden sind. Mithilfe der Empfängeradresse kann ein Datencontainer von Netzwerkknoten zu Netzwerkknoten in Richtung des jeweiligen Empfängers transportiert werden. Netzwerkkundige wissen, dass es sich bei den Datencontainern um IP-Pakete und bei den Adressen um IP-Adressen handelt.

Die Abbildung 5 zeigt Ihnen eine Folge von Nullen und Einsen, wenn man sie unter der Lupe betrachtet und damit ihre Struktur (d. h. die transportierte Information) erkennen kann.

Abb. 5: IP-Pakete unter der Lupe

SYN-Flag
Die Lupe zeigt Ihnen, dass es sich bei der seriellen Folge von Nullen und Einsen eigentlich um eine serielle Folge von Datencontainern handelt. Die ersten in diesen Datencontainern aufeinanderfolgenden Nullen und Einsen transportieren unter anderem die Adressierungsinformation, während darauffolgende Nullen und Einsen die Information zur Steuerung und Kontrolle der Verbindung zwischen Absender und Ziel beinhalten. Im Bild ist diese Information „lesbar” dargestellt. Bitte lassen Sie sich an dieser Stelle nicht von den Details ablenken und verwirren. Es reicht aus, wenn Sie Ihr Augenmerk auf den Bereich unterhalb der Sektion Internet Protocol richten und dort die Absenderadresse (192.168.251.161) und die Zieladresse (172.31.1.146) erkennen und in der darauffolgenden Sektion Transmission Control Protocol das SYN Flag sehen, das dem Empfänger dieses Datencontainers den Verbindungswunsch des Absenders signalisiert.

Die Sektionen Internet Protocol (kurz: IP) und Transmission Control Protocol (kurz: TCP) bezeichnet man als Protokolle. Dabei handelt es sich innerhalb eines Datencontainers letztlich nur um definierte Informationsbausteine, die im Rahmen der Datenübertragung über ein Netzwerk dedizierte Aufgaben wie z. B. die Benennung des Ziels oder die Steuerung der Verbindung übernehmen.

1.3.2 Verbindungen

Datencontainer
Das Bild eines Datencontainers kann dazu beitragen, den abstrakten Begriff einer Verbindung auf der Transportebene eines Netzwerks zu erklären. In der Abbildung 6 sind zwei Kommunikationspartner zu sehen:

1.	Desktop-PC: IP-Adresse: 192.168.251.161
2.	Server: IP-Adresse: 172.31.1.146

Der Desktop-PC schickt einen Datencontainer an den Server, der daraufhin einen Datencontainer zum Desktop-PC schickt und dieser wiederum einen weiteren Datencontainer zum Server.

Abb. 6: Was ist eine Verbindung?

Während die Abbildung alle relevanten Informationen der Sektionen Internet Protocol und Transmission Control Protocol beinhaltete, ist der Informationsgehalt hier auf die wesentlichen Informationen reduziert:

1.	Die Sektion Internet Protocol transportiert die IP-Adressen von Absender und Ziel. Daran ist zu erkennen, ob der Datencontainer über das Netzwerk vom Desktop-PC zum Server oder vom Server zum Desktop-PC geschickt wird.
2.	Die Sektion Transmission Control Protocol steuert die Verbindung. Der Desktop-PC schickt seinen Verbindungswunsch (SYN) zum Server. Dieser quittiert diesen Wunsch (ACK) und kündigt selbst wiederum seinen Verbindungswunsch dem Desktop-PC (SYN) an. Der Desktop PC quittiert den Verbindungswunsch des Servers (ACK).

3-Way-Handshake
Wenn zwei Kommunikationspartner A und B über ein Netzwerk hinweg eine Verbindung etablieren wollen, dann sind dafür folglich drei Datencontainer erforderlich. Der Experte spricht hier auch von einem 3-Way-Handshake. Alle nachfolgenden Datencontainer transportieren neben den bereits nun bekannten Sektionen dann portionsweise die eigentlichen Daten (z. B. den Inhalt einer elektronischen Patientenakte). Dabei ist zu beachten, dass eine Verbindung immer bidirektional ist. Das heißt, die hier vom Desktop-PC eingeleitete Verbindung wird genutzt, um Daten vom Desktop-PC zum Server und vice versa zu transportieren. Die Richtung des Transports der Daten über eine Verbindung ist also unabhängig davon, wer von den beiden Kommunikationspartnern die Verbindung initiiert hat. Eine nicht unwesentliche Erkenntnis, zumal sie Ihnen zeigt, dass ein Angreifer nicht zwingend eine Verbindung zu Ihrem System aufbauen muss. Es reicht aus, wenn Ihr System eine Verbindung zum System des Angreifers aufbaut.

Auflösung einer Verbindung
Es soll an dieser Stelle nicht unerwähnt bleiben, dass natürlich auch die Auflösung einer Verbindung zwischen den Kommunikationspartnern auf ähnliche Art und Weise wie der Verbindungsaufbau gesteuert wird.

Wenn wir den Fokus noch einmal auf einen einzelnen Datencontainer richten und damit auch wieder alle Details einblenden, dann sieht das wie in Abbildung 7 aus.

Abb. 7: Der Verbindungswunsch

Zu sehen ist der erste Datencontainer, der den Aufbau einer Verbindung einleitet. Dieser ist als Beispiel bewusst gewählt, da darin noch eine weitere, sehr wichtige Information enthalten ist: der sogenannte Port des Zielsystems (Destination Port). Der Desktop-Rechner zeigt nicht nur an, dass er eine Verbindung zu einem Server mit der Zieladresse 172.31.1.146 aufbauen möchte, er teilt über die Zielportnummer dem Server auch mit, welchen Dienst er ansprechen möchte.

Portnummer
Ein Server kann mehrere Dienste (z. B. Mail, Web) zur Verfügung stellen, die dann alle über die gleiche IP-Adresse zu erreichen sind. Deshalb wird im Verbindungswunsch mitgeteilt, welcher Dienst angesprochen werden soll. Dies erfolgt über die sogenannte Portnummer. In Abbildung 7 wird der HTTP-Service (Port 80) angesprochen. Insofern handelt es sich hier um einen Webserver. Sollte dieser Server auch einen Maildienst (SMTP: Simple Mail Transfer Protocol) beherbergen, dann müsste dieser Dienst über die Portnummer 25 angesprochen werden.

Zuordnung Portnummern
Ursprünglich wurde jeder Anwendung eine dedizierte Portnummer zugeordnet. Ein paar Beispiele dazu finden Sie in Tabelle 2.

Tabelle 2: Portnummern

Anwendung	Portnummer
Mail	25
http (Web)	80
File Transfer Protocol	21
Remote Desktop	3389

Sie können es natürlich getrost den Firewall-Administratoren überlassen zu wissen, welcher Anwendung welche Portnummer zugeordnet ist. Um die Arbeitsweise von Firewall-Systemen zumindest grundlegend verstehen zu können, ist das Wissen um die Existenz von Portnummern ausreichend.

Sie werden sich an dieser Stelle eventuell fragen, warum wir die Folgen von Nullen und Einsen innerhalb eines Datencontainers hier nicht schon so weit strukturiert haben, dass auch die eigentlich zu übertragenden Daten zu sehen sind. Dies wird an späterer Stelle nachgeholt. Aktuell ist diese Information für uns noch ohne Wert, da auch die Firewall-Systeme sich anfänglich nicht für diese Informationen interessiert hatten. Das heißt, für eine Firewall waren zunächst nur die folgenden Informationen interessant:

a)	Wer kommuniziert mit wem (Absender- und Ziel-IP-Adresse)?
b)	Welcher Port wird auf dem Zielsystem angesprochen?

Verbindung erlauben oder blockieren
In Abhängigkeit von diesen Informationen kann ein Administrator die Firewall anweisen, diese Verbindung zu erlauben oder sie zu blockieren, d. h. den Austausch von Datencontainern zwischen zwei Systemen zu verhindern.

1.3.3 Keine Verbindung?

Leser mit Netzwerkkenntnissen werden an dieser Stelle anmerken wollen, dass eine Kommunikation durchaus auch verbindungslos sein kann, d. h., System A schickt Datencontainer zu System B, ohne dabei die Dienste des Transmission Control Protocol zu nutzen. Ein Beispiel (s. Abbildung 8) dafür ist der Namensdienst (DNS: Domain Name System), der einen Namen in die zugehörige IP-Adresse auflöst und es uns z. B. ermöglicht im Browser http://www.tuev-media.de anstelle von http://212.227.38.132 einzugeben.

Abb. 8: Namensauflösung

DNS-Server
Um den eingegebenen Namen in eine IP-Adresse zu überführen, schickt unser Rechner einen Datencontainer an einen ihm bekannten DNS-Server. Dieser Datencontainer enthält die Sektionen Internet Protocol, User Datagram Protocol und Domain Name System. Die Sektionen in einem Datencontainer haben wie bereits erwähnt dedizierte Aufgaben:

•	Internet Protocol: Primär obliegt dieser Sektion die Angabe der IP-Adresse von Ziel und Absender.
•	User Datagram Protocol: Welcher Dienst soll auf dem Zielsystem angesprochen werden?
•	Domain Name System: Welche IP-Adresse ist einem Namen (hier: www.tuev-media.de) zugeordnet?

Domaine Name System
Der vom DNS-Server an unseren Rechner adressierte Datencontainer enthält nun in der Sektion Domain Name System die gesuchte Antwort: Dem Namen www.tuev-media.de ist die IP-Adresse 212.227.38.132 zugeordnet. Eine Verbindung der zuvor vorgestellten Art haben die beiden Systeme für ihre Kommunikation hier nicht hergestellt.

Eine Firewall muss auch diese Form der Kommunikation kontrollieren können, obwohl sie zumindest auf der Transportebene des Netzwerks den Datencontainern keine Informationen zum Auf- bzw. Abbau einer Verbindung entnehmen kann.

1.3.4 Stateful Firewall

Firewall Policy
Die Regelung der Kommunikation zwischen Netzwerkbereichen erfolgt über ein Regelwerk, das als Firewall Policy bezeichnet wird. Dieses Regelwerk besteht aus einzelnen Zeilen (Regeln), welche die Firewall von oben nach unten (Top-Down) abarbeitet. Dabei prüft sie, welche Regel für eine neu entstehende Kommunikation anzuwenden ist, und führt die mit der Regel verknüpfte Aktion (verboten oder erlaubt) aus. Dieses Verfahren wird als First-Match-Out bezeichnet. Kann die Firewall für eine aktuelle Kommunikation keine passende Regel finden (d. h., sie findet kein Match), dann wird über eine Catch-Any-Regel festgelegt, ob solche Kommunikationen pauschal zugelassen, oder unterbunden werden.

Tabelle 3: Das Regelwerk einer Stateful Firewall

Die in Tabelle 3 markierte Regel erlaubt, dass aus dem Bereich Internet eine DNS-Anfrage an den eigenen DNS-Server im Bereich DMZ mit der IP-Adresse 37.9.184.133 gesendet werden darf. Wenn wir davon ausgehen, dass das aus dem Internet anfragende System eine Antwort von unserem internen DNS-Server erhält, dann stellt sich natürlich die folgende Frage: Müssen wir diese Antwort zulassen, d. h., muss eine Regel existieren, welche aus dem Bereich DMZ die DNS-Antwort des internen DNS-Servers in Richtung Internet zulässt?

Stateful Inspection
Eine Firewall weiß, dass die Kommunikation zwischen zwei Systemen immer bidirektional ist. Das heißt, wenn System A aufgrund des Regelwerks eine Kommunikation zu System B initiieren darf, dann darf System B im Rahmen dieser Kommunikation auch Datencontainer zu System A schicken. Die rücklaufenden Datencontainer werden nicht mehr gegen das Regelwerk der Firewall geprüft. Diese Arbeitsweise wird als Stateful Inspection bezeichnet, da eine Firewall eine erlaubte Kommunikation mit Entstehung selbiger in einer Session-Tabelle protokolliert und danach bidirektional alle Datencontainer erlaubt, die dieser Session zugeordnet werden können. Dies entspricht der grundlegenden Funktion einer Firewall, wenngleich der Funktionsumfang heute natürlich weit darüber hinausgeht.

Session-Tabelle
Bezogen auf unser Beispiel würde der entsprechende Eintrag in der Session-Tabelle wie in Abbildung 9 aussehen.

Abb. 9: Session-Tabelle (die Buchführung einer Firewall)

Die hier vereinfacht dargestellte Session-Tabelle (Verbindungstabelle) zeigt, dass die Buchführung der Firewall auch dann von einer Verbindung spricht, wenn die Kommunikation auf der Transportebene des Netzwerks nicht durch einen dedizierten Verbindungsaufbau eingeleitet wird: Der DNS-Dienst war zuvor unser Beispiel für „keine Verbindung”, und wir sehen nun, dass die Firewall tatsächlich auch mit solchen Kommunikationsbeziehungen umgehen kann.

Wenn es dem Autor mit dieser Einführung gelungen ist, Ihnen die Arbeitsweise einer einfachen Stateful Firewall näherzubringen, können Sie die neuen Kenntnisse zur Interpretation des nachfolgenden Regelwerks einsetzen und die Frage beantworten, warum dieses Regelwerk (siehe Tabelle 4) als unsinnig und zudem auch als „gefährlich” zu bezeichnen ist?

Tabelle 4: Beispiel für ein unsinniges Regelwerk

Firewall-Regelwerk eher komplex
In der Praxis ist – abhängig von der Umgebung und deren Anforderungen – ein Firewall-Regelwerk nicht immer so übersichtlich wie in unseren beiden Beispielen. Vielmehr ist es oft sehr umfangreich und komplex. Deshalb ist eine entsprechende Dokumentation des Regelwerks zu empfehlen:

•	Ziel der Regel
•	Zuordnung der Regel (Person, Projekt, Ticket)
•	Bei temporären Regeln: Wann kann diese Regel wieder entfernt werden

Vorsicht: Altlasten
Leider wird dieser Empfehlung in der Praxis nicht immer entsprochen. Das führt dazu, dass Regelwerke oft Altlasten enthalten, was auch ein Sicherheitsrisiko darstellt. Ein Firewall-Administrator hat meist keinen Bezug zu den Systemen, die über seine Firewall kommunizieren. Ohne Dokumentation kann er natürlich auch deren Kritikalität nicht einschätzen. Wenn er also eine aus seiner Sicht obsolete Regel entfernt, dann kann er damit durchaus auch businesskritische Kommunikationsbeziehungen unterbinden. In vielen Fällen führt dieses Risiko dazu, dass eine bestehende Regel nicht mehr weiter hinterfragt wird und somit im Regelwerk sehr alt werden kann.

1.4 Firewall versus Proxy

Proxy
Neben den Firewall-Systemen existiert mit dem Proxy eine weitere Komponente, die primär die von den zu schützenden Systemen ausgehenden Kommunikationsbeziehungen überwacht. Auf den ersten Blick verfolgen Firewall- und Proxy-Systeme das gleiche Ziel, unterscheiden sich aber maßgeblich auf der technischen Ebene, sodass die beiden Lösungen letztlich auch unterschiedlichen Anforderungen entsprechen.

•

Die über eine Firewall geführten Verbindungen werden von der Firewall nicht terminiert, d. h,. die beiden Kommunikationspartner kommunizieren direkt miteinander. Für sie ist die Firewall transparent; sie existiert aus Sicht der beiden Kommunikationspartner nicht, da sie Bestandteil des Weges der Datencontainer zwischen Absender und Empfänger ist.

•

Die von einer Quelle ausgehenden Verbindungen werden vom Proxy terminiert, der dann wiederum stellvertretend für die Quelle die Verbindung zum gewünschten Ziel aufbaut. Dadurch entstehen zwei Kommunikationsetappen:

–	von der Quelle zum Proxy,
–	vom Proxy zum Ziel.

•

Ein Proxy arbeitet im Store-and-Forward-Modus. Er nimmt die Datencontainer der Quelle entgegen und überprüft z. B. eine darin enthaltene und eventuell auch auf mehrere Datencontainer verteilte ausführbare Datei auf Viren, bevor er die Datencontainer an das Zielsystem weitergibt. Eine Firewall arbeitet im Path-Through-Modus. Das heißt, sie reicht die Datencontainer quasi sofort weiter und wartet nicht, bis sie alle Datencontainer erhalten hat, auf die z. B. eine größere Datei aufgeteilt wurde.

•

Die über eine Firewall initiierten Verbindungen können quasi beliebige Portnummern und damit Anwendungen ansprechen. Da ein Proxy den Verbindungswunsch der Quelle terminiert, muss er auch den gewünschten Service unterstützen. Die typischen Dienste von generischen Proxy-Lösungen reduzieren sich oft auf HTTP, HTTPS und FTP (http:// Hypertext Transfer Protocol, HTTPS:// http Secure, FTP:// File Transfer Protocol) (s. a. Abbildung 10).

Abb. 10: Für welche Dienste wird der Proxy verwendet (Beispiel Microsoft Internet Explorer)

•

Es ist nicht ungewöhnlich, dass sich ein Anwender erst am Proxy authentifizieren muss, bevor er die Dienste des Proxy nutzen kann. Bei klassischen Firewall-Systemen ist dieser Ansatz nicht so häufig anzutreffen.

•

Eine Firewall arbeitet immer inline, d. h., die Netzwerkinfrastruktur (für die Experten: IP-Routing oder Layer-2-Switching) sorgt dafür, dass die Kommunikationsbeziehungen der durch eine Firewall getrennten Systeme immer über die Firewall führen. Dagegen existieren bei den Proxy-Lösungen zwei Implementierungsvarianten:

–	Bei einem sog. expliziten Proxy müssen die zu schützenden Systeme explizit für die Kommunikation mit dem Proxy konfiguriert werden. Im einfachsten Fall wird die Adresse des Proxy-Systems manuell hinterlegt.
–	Bei einem sogenannten transparenten Proxy wissen die zu schützenden Systeme nichts von der Existenz des Proxy-Systems. Hier muss die Netzwerkinfrastruktur so konfiguriert werden, dass die Verbindungen zum Proxy umgeleitet werden.

•

Einer Firewall ist es – solange das Regelwerk die Kommunikation nicht verbietet – egal, welche Systeme aus welchen Bereichen eine Verbindung initiieren. Ein Proxy kontrolliert immer nur die Verbindungen, die von einem kontrollierten Bereich (z. B. dem internen Netz) hin zu einem nicht kontrollierten Bereich (z. B. dem Internet) initiiert werden. Wird die Richtung umgekehrt, d. h. der Proxy soll die vom nicht kontrollierten Bereich ausgehenden Verbindungen kontrollieren, dann ist ein sogenannter Reverse Proxy erforderlich.

•

Da ein Proxy üblicherweise für HTTP eingesetzt wird, verfügen diese Systeme auch über eine Caching-Funktion. Das heißt, sobald ein Client eine Webseite aufruft, prüft der Proxy, ob er die Informationen über seinen Cache ausliefern kann oder vom eigentlichen Zielsystem holen muss. Erstgenanntes ist natürlich schneller, aber im Zeitalter von dynamischen Webseiten (hier verbietet sich aufgrund der Dynamik dieser Seiten quasi ein Cache) und von hohen Bandbreiten spielt diese Funktion eines Proxy-Systems heute nur noch eine untergeordnete Rolle.

Man-in-the-Middle
In der Abbildung 11 sind die beiden Verbindungsetappen zu sehen.

Abb. 11: Die Arbeitsweise eines Proxy

Der Proxy arbeitet quasi als Man-in-the-Middle und kann in dieser Rolle nun natürlich auch die Kommunikation (im Bild: HTTP) von Client und Server etwas genauer unter die Lupe nehmen und daraus in Abhängigkeit von den hinterlegten Policies Aktionen ableiten:

•	Der Versuch, eine bestimmte Webseite aufzurufen, wird unterbunden.
•	Der Upload/Download von bestimmten File-Typen (z. B. exe, mp3) wird unterbunden.

Die Abbildung 12 zeigt, wo z. B. im Internet Explorer von Microsoft die Proxy-Einstellungen konfiguriert werden. D. h. hier wird das System auf die Kommunikation mit einem expliziten Proxy vorbereitet.

Abb. 12: Proxy Einstellungen im Internet Explorer.

Vor- und Nachteile
Ob ein Proxy oder eine Firewall die bessere Lösung zur Trennung von Netzbereichen ist, hängt von den konkreten Anforderungen ab. So punktet ein Proxy z. B. aufgrund der Tatsache, dass ein internes System niemals direkt mit einem externen System kommuniziert (der Proxy kommuniziert mit dem externen System) und er im Store-and-Forward-Modus arbeitet. Dafür sind die von ihm unterstützten Dienste sehr eingeschränkt. Beide Systeme können – wie die Abbildung 13 zeigt – allerdings durchaus auch gemeinsam eingesetzt werden:

Abb. 13: Gemeinsamer Einsatz von Proxy und Firewall

2 (Neue) Herausforderungen

Stateful-Konzept
Wie bereits erwähnt, stützt sich die grundlegende Arbeitsweise einer Firewall auf das bereits vorgestellte Stateful-Konzept. Anfänglich existierten am Markt Systeme, deren Funktionsumfang auch genau darauf beschränkt war. Der Autor bittet um Verständnis, dass er im Rahmen dieses Artikels das Thema Firewall nicht durch Funktionen wie z. B. Virtual Private Networks (VPN) oder Network Address Translation (NAT) verwässern möchte. Es handelt sich dabei um zusätzliche und sicherlich auch wichtige Features. Dieser Artikel beschränkt sich darauf, dass Firewall-Systeme Verbindungen kontrollieren, und berücksichtigt deshalb nur Features, die primär auch vor diesem Kontext zu sehen sind.

2.1 Anwendungen

Paradigma
Im Rahmen der Erklärungen zum Thema Verbindungen wurde schon erwähnt, dass auf einem Zielsystem die Anwendungen (Dienste) über sogenannte Portnummern (z. B. 80 für HTTP) angesprochen werden. Das Paradigma, dass eine Portnummer fest einer Anwendung zugeordnet ist und an dem wir später etwas rütteln möchten, hatte sehr lange Gültigkeit. Auf Basis dieses Paradigmas soll nun die nachfolgende, einfache Firewall-Regel analysiert und das daraus resultierende Risiko bewertet werden (s. Tabelle 5).

Tabelle 5: Freie Fahrt für HTTP

Zugriff von beliebigen Rechnern
Die Regel erlaubt den Zugriff ausgehend von beliebigen Rechnern im Internet auf beliebige Systeme in der DMZ. Allerdings kann auf diesen Systemen nur der Webserver angesprochen werden: Port 80 entspricht http. D. h. es können Webseiten aufgerufen werden. Allerdings wird Ihnen die Abbildung 14 zeigen, dass Sie die Regel zwar verstanden haben, das Ergebnis aber leider nicht Ihrer Erwartung entsprechen wird (gut gemeint ist nicht immer gut gemacht).

Abb. 14: HTTP als Standard Protokoll für viele Anwendungen.

HTTP-Protokoll
Der Report entstammt einer Firewall, die aufzeigen kann, welche Anwendungen über sie transportiert werden. Sie belegt, dass sich heute viele Anwendungen des HTTP-Protokolls bedienen, um die Daten zwischen z. B. dem Client und der Anwendung auszutauschen. HTTP transportiert heute nicht mehr zwangsläufig Format und Inhalt einer Webseite zu Ihrem Explorer. Es kann vielmehr auch sein, dass darüber ein Radiosender aus der Cloud zur Radio-App auf Ihrem iPhone übertragen, oder aber auch eine Datei auf Ihren Rechner transferiert wird. Was erlaubt also der Firewall-Administrator, wenn er – wie in unserem Beispiel – den Zugriff auf Port 80 freigibt?

Deep Packet Inspection
Das alte Paradigma (Port gleich Anwendung) hat heute folglich nur noch bedingt Bestand. Wenn man über eine Firewall den Port 80 erlaubt oder verbietet, dann ist das zu unspezifisch. Vielmehr muss die Kontrolle durch die zusätzliche Angabe der Anwendung erfolgen, z. B. Web-Browsing (Port 80) ist erlaubt, aber http-Video (Port 80) ist verboten. Damit das aber gelingt, muss sich eine Firewall die von den Kommunikationspartnern erzeugten Datencontainer wesentlich intensiver anschauen. Das heißt, sie kann sich nicht auf die bereits vorgestellten Sektionen Internet Protocol, User Datagram Protocol und Transmission Control Protocol beschränken, sondern sie muss sich auch die in den Datencontainern enthaltenen Daten der eigentlichen Anwendung anschauen, um so Rückschlüsse auf die Anwendung selbst zu erhalten. Dies wird von den Herstellern oft als Deep Packet Inspection bezeichnet (s. Abbildung 15).

Abb. 15: Deep Packet Inspection

Welche Mechanismen eine Firewall nutzt, um nicht nur Kommunikationsbeziehungen, sondern auch die Anwendungen zu erkennen, soll nicht weiter diskutiert werden. Oft kennen auch nur die Hersteller die entsprechenden Details und überbieten sich gegenseitig bei der Angabe, wie viele Anwendungen ihr System aktuell detektieren kann.

Intensive Analyse
Aufgrund der intensiven Analyse der einzelnen Datencontainer können solche Firewall-Systeme natürlich auch mehr als die klassischen Firewall-Systeme sehen:

•	Welche Webseiten rufen die Anwender auf?
•	Welche Daten (z. B. PDF-Dokument) werden transferiert?
•	Handelt es sich bei den transferierten Daten um schadhafte Software (Malware)?
•	Welche Applikationen nutzen die Anwender?
•	Welcher Anwender nutzt welche Anwendungen?
•	Welcher Anwender ruft welche Webseite auf?
•	Weist die Kommunikation Anomalien auf und ist somit als Angriff zu werten?

Grundlage für Kontrolle
Die so gewonnene Sichtbarkeit ist die Grundlage für eine entsprechende Kontrolle. So darf z. B. Anwender Mayer Facebook nutzen und Informationen posten, während Anwender Müller Facebook zwar aufrufen, aber keine „Features” wie z. B. Posts, News Feeds oder Spiele nutzen darf.

Application Layer Gateway (ALG)
Dass eine Firewall nicht nur die Kommunikationen, sondern auch die jeweiligen Anwendungen überwacht, ist eigentlich kein neuer Ansatz. Ein sogenanntes Application Layer Gateway (ALG) hat genau diesen Anspruch. Da bei dieser Lösung das Application Layer Gateway aber stellvertretend für die zu schützenden Endgeräte die Verbindungen hin zu den Zielsystemen aufbaut und damit zwischen den Endgeräten und den Zielsystemen vermittelt, spricht man hier wieder von einem Proxy. Das heißt, auch z. B. klassische Web-Proxy-Lösungen haben sich im Laufe der Zeit weiterentwickelt und sind sich der Tatsache bewusst, dass über die von ihnen verwalteten Verbindungen nicht mehr nur Inhalte und Formate von Webseiten übertragen werden. Vielmehr muss der Proxy für die von ihm unterstützen Träger der Kommunikation (z. B. HTTP) auch eine Differenzierung der Anwendungen unterstützen.

2.2 Verschlüsselte Verbindungen

Unzählige Regeln
Der Autor möchte den Leser nicht mit unzähligen Firewall-Regeln langweilen, aber wenn Sie zumindest noch ein letztes Mal der folgenden Firewall-Regel (s. Tabelle 6) Ihre Aufmerksamkeit widmen, dann erwartet Sie sicherlich ein weiteres Aha-Erlebnis.

Tabelle 6: Freie Fahrt für HTTPS

HTTPS
Wenngleich sicher nur netzwerkaffine Leser sofort wissen, was mit HTTPS (Port 443) gemeint ist, dürfte aber jeder Leser diese Anwendung kennen. Das heißt, die Eingabe von https:// in Ihrem Browser wird Ihnen nicht fremd sein und sicher auch nicht die gelegentliche Meckerei des Browsers, wenn er die Identität des Zielsystems nicht validieren kann. Letztgenanntes ist ein Problem des Zertifikats des Zielsystems und dessen Validierung durch Ihren Rechner. Ein Thema, dessen Details wir an dieser Stelle aber ausblenden wollen.

Der Hintergrund zur Frage nach der Interpretation der vorangegangenen Regel muss bestimmt nicht mehr motiviert werden und leitet sich aus den beim Thema HTTP (Port 80) gewonnenen Kenntnissen ab: Viele Anwendungen bedienen sich dem HTTPS-Protokoll, um die Daten zwischen z. B. dem Client und der Anwendung auszutauschen. Das heißt, HTTPS transportiert nicht mehr zwangsläufig Format und Inhalt einer Webseite zu Ihrem Explorer (siehe S. Abbildung 16).

Abb. 16: HTTPS als Standard Protokoll für viele Anwendungen.

Auch für Firewall nicht lesbar
Im Vergleich zu http gibt es hier aber einen wichtigen Unterschied: Bei HTTPS werden die Daten verschlüsselt übertragen und sind damit – auch für eine Firewall – nicht lesbar. Die Abbildung 17 zeigt grob, wie Sie sich den Aufbau einer solchen verschlüsselten Verbindung vorstellen müssen. Der Client fordert beim Server eine Verbindung auf Port 443 an. Beide verhandeln über diese Verbindung zunächst die kryptografischen Algorithmen und das zur Verschlüsselung der Verbindung erforderliche Schlüsselmaterial, bevor dann die weitere Kommunikation für die Augen von Dritten verschleiert wird.

Abb. 17: Aufbau einer verschlüsselten Verbindung

Firewall erkennt keine Anwendungen
Das Problem liegt auf der Hand: Die Firewall kann keine Anwendungen erkennen und wird damit wieder rein auf eine Kontrolle der Kommunikationsbeziehungen reduziert. Um dem Veto der technisch visierten Leser gleich vorzubeugen: Ja, ein paar Anwendungen können auch erkannt werden, obwohl die eigentlichen Daten der Anwendung verschlüsselt übertragen werden. Die Diskussion der entsprechenden Abhängigkeiten sowie die dafür relevanten Informationen, die während der unverschlüsselten Phase der Kommunikation (s. Abbildung 17) ausgetauscht werden (ein Beispiel dafür ist das Zertifikat des Servers), dürften die meisten Leser aber langweilen. Dafür hätte der Autor sogar vollstes Verständnis.

Der sich aufgrund der Zunahme von HTTPS einstellende Blindflug (Google bietet mittlerweile sogar an Suchanfragen über HTTPS, also https://www.google.com, abzusetzen) hat ernstzunehmende Konsequenzen, da – wie in Abbildung 18 zu sehen – potenzielle Sicherheitslücken entstehen.

Abb. 18: Das eigentliche Problem der verschlüsselten Verbindung

Verbotene File-Typen
Sie erinnern sich daran, dass eine Kommunikationsbeziehung immer bidirektional ist? Eine banale Erkenntnis, die nun aber die vollständige Tragik offenlegt. Selbst wenn ein Rechner im Internet aufgrund der Firewall-Regeln aus dem Internet heraus keine Kommunikationsbeziehung zu einem internen Rechner aufbauen darf, so dürfen aus den internen Netzen heraus in den meisten Fällen verschlüsselte Kommunikationsbeziehungen zu Rechnern im Internet hergestellt werden. Die Firewall schaltet dann bei diesen Verbindungen quasi auf „freie Fahrt” und kann nicht erkennen, dass über die verschlüsselte Verbindung z. B. schadhafte Software in Richtung internes Netz transferiert wird. Auch ein Transfer von eigentlich verbotenen File-Typen (z. B. PDF, DOCX) aus dem internen Netz in Richtung Internet ist ungesehen möglich. In der Konsequenz bedeutet dies, dass für verschlüsselte Verbindungen nicht die gleichen Sicherheitsanforderungen wie für nicht verschlüsselte Verbindungen durchgesetzt werden können und damit das Sicherheitsniveau allgemein reduziert wird.

Mangelnde Performance
Der folgende Vorfall soll Ihnen das verdeutlichen. Die Anwender beklagen eine mangelnde Performance beim Surfen im Internet. Für den Administrator ein erstaunliches Feedback, zumal dieses Problem quasi ad hoc aufgetreten ist und der Internetanschluss mit Blick auf die Bandbreite ausreichend dimensioniert sein sollte. Ein Blick auf die Statistiken der Firewall offenbart das Problem und enttarnt den ungebetenen Gast (s. Abbildung 19).

Abb. 19: Ungebetener Gast

Malware
Das über die Mailkommunikation transferierte Datenvolumen ist ungewöhnlich hoch. Dieses Volumen wird von zwei Servern generiert: dem Exchange Server (Mailserver) und einem zweiten Server, der eigentlich keine Mails versenden sollte. Auf diesem Server wurde eine Malware installiert, die das Internet nach Mailadressen absucht und an diese dann Spam-Mails schickt. Die Nachforschung bestätigte, dass diese Malware über eine verschlüsselte Verbindung auf das Zielsystem übertragen wurde, denn die Firewall hätte den Transfer dieser Malware über eine unverschlüsselte Verbindung geblockt.

Fachkundigen Lesern ist sicher klar, dass hier mehrere Sicherheitsfunktionen versagt haben oder schlicht und ergreifend einfach nicht existierten.

a)	Blockieren des Downloads der Malware durch die Firewall? In diesem Fall hatte die Firewall keine Chance, da die Verbindung zwischen der Malware-Quelle und dem Zielsystem verschlüsselt war.
b)	Blockieren der Malware auf dem Zielsystem durch den lokalen Virenscanner? Sofern ein solcher Schutz vorhanden ist, kann die schadhafte Software auf dem Zielsystem selbst abgefangen werden. Dafür gibt es aber keine absolute Garantie.
c)	Stoppen des Mailversands durch ein Mailgateway? Exchange Server und Mailgateway sind in diesen Pfad nicht eingebunden, da das betroffene System die Mails direkt an die zuständigen Mailserver im Internet geschickt hatte. Insofern hätte aber die Firewall diesen Versand stoppen können. Dafür müsste nur eine Firewall-Regel existieren, die nur dem Mailgateway den Versand von Mails in Richtung Internet gestattet. Aber genau diese Regel existierte nicht, sodass quasi jedes interne System Mails verschicken konnte.

Verschlüsselte Verbindungen können aufgebrochen werden
Es ist technisch möglich, dass verschlüsselte Verbindungen von der Firewall (oder einem Proxy) aufgebrochen werden können und somit wieder der Inhalt der einzelnen Datencontainer analysiert werden kann. Diese Lösung soll aber technisch nicht weiter vertieft werden. Der Autor möchte Ihnen zu diesem Thema lediglich die folgenden Anmerkungen mit auf den Weg geben:

•	Es kann sein, dass dafür die Zustimmung z. B. des Betriebsrates erforderlich ist.
•	Um die Lösung zu verstehen, muss man sich mit X.509v3-Zertifikaten auseinandersetzen.
•	Man sollte nie versuchen pauschal alle verschlüsselten Verbindungen aufzubrechen. So sollten z. B. Online-Banking-Ziele von diesem Aktionismus ausgenommen werden.
•	Nicht alle Kommunikationsbeziehungen lassen sich aufbrechen. Bemerken die entsprechenden Kommunikationspartner einen solchen Versuch, dann wird die Kommunikationsbeziehung unterbrochen. Das würde z. B. beim Zugriff auf ein Online-Banking-Ziel passieren.

Verständnis für Problematik schärfen
Um das Verständnis für die Problematik weiter zu schärfen und um noch einmal aufzuzeigen, dass Sicherheit nicht ausschließlich eine Frage der eingesetzten technischen Maßnahmen ist, sollten Sie überlegen, wie Sie mit der folgenden Anforderung umgehen würden:

Ein Mitarbeiter hat von seinem Rechner über das Netzwerk Zugriff auf sensible Daten. Gleichzeitig benötigt er einen Zugriff auf das Internet, da er im Rahmen seiner Arbeitsaufgabe auch auf Informationen aus dem Netz angewiesen ist. Es ist davon auszugehen, dass der Zugriff in das Internet nicht ausschließlich nur über HTTP, sondern auch über HTTPS erfolgt und damit natürlich potenziell die Gefahr besteht, dass der Rechner des Mitarbeiters durch z. B. Malware infiziert wird.

•	Welche technischen Antworten (lokale Virenscanner, Web-Proxy, Firewall etc.) kommen Ihnen in den Sinn?
•	Sie möchten dem Rechner des Mitarbeiters den Zugang zum Internet verbieten und für die erforderlichen Internetaktivitäten einen zweiten Rechner (Internet-Terminal) zur Verfügung stellen? Sehr gute Idee, aber haben Sie auch den Workflow des Mitarbeiters berücksichtigt, oder ist sichergestellt, dass die Programme auf dem eigentlichen Arbeitsplatzrechner nicht eventuell auch auf Updates aus dem Internet angewiesen sind?
•	Wie sieht – mit Blick auf die Kritikalität der Daten – Ihre Risikoanalyse aus, d. h., welches Sicherheitsniveau müssen Sie erzielen? Ist dieses Niveau auf Basis der von Ihnen angestrebten technischen Maßnahmen zu erreichen?

2.3 Netz ohne Grenzen

Mobilität stellt vor neue Herausforderungen
Die in der Vergangenheit zunehmend gewünschte und auch erforderliche Mobilität der Anwender stellt die klassische Absicherung des Perimeters durch den Einsatz von Firewall-Systemen ebenfalls vor neue Herausforderungen. Hierzu ein einfaches Beispiel: Ein Anwender überbrückt die Wartezeit am Flughafen und aktualisiert in einem CRM-System den Datensatz seines Kunden. Das Unternehmen bezieht die CRM-Lösung über eine externe Cloud, d. h., sie wird als Software-as-a-Service(SaaS)-Produkt über das Internet genutzt.

Software-as-a-Service (SaaS)
In unserem einfachen Beispiel spielt die Perimeter-Firewall des Unternehmens keine Rolle, da sie nicht in den Kommunikationsfluss eingebunden ist. Wir wollen dieses Thema und mögliche Lösungen hier nicht weiter vertiefen. Die kurze Vorstellung soll lediglich aufzeigen, dass aufgrund von neuen Anforderungen die Netzgrenzen in der Definition des klassischen Perimeters heute nicht mehr existieren. Wir konsumieren nicht nur Anwendungen, die innerhalb unseres Unternehmens zur Verfügung gestellt werden, sondern auch Anwendungen in der Cloud. Wenn wir beim Zugriff auf diese externen Anwendungen nicht mit dem Netzwerk unseres Unternehmens verbunden sind, dann bieten uns die traditionellen Grenzmauern unserer Festung keinen Schutz mehr.

2.4 Rechenzentrum

Firewall als virtuelle Maschine
Durch die zunehmende Konsolidierung von Anwendungen und Diensten in einem Rechenzentrum werden auch die Kommunikationsströme in Richtung eines Rechenzentrums konsolidiert, sodass die Absicherung der netzseitigen Übergänge in das Rechenzentrum über Firewalls nicht unberücksichtigt bleiben darf. Abgesehen davon, dass sich hier aufgrund der Virtualisierung auch dedizierte Anforderungen ableiten (z. B. Firewalls als virtuelle Maschine), sind die an diesen Übergängen eingesetzten Firewalls mit Blick auf die angebotenen Security Features nicht unbedingt von den an anderen Grenzübergängen eingesetzten Systemen zu unterscheiden. Allerdings stehen bei der Planung dieser Systeme z. B. die Themen Verfügbarkeit und Durchsatz oft wesentlich stärker im Fokus als bei Systemen, die nicht für den Einsatz in einem Rechenzentrum vorgesehen sind. Diese Firewall-Systeme können dann auch sehr schnell zu einer finanziellen Herausforderung werden.

2.5 User

Eine Firewall kann prinzipiell zunächst nicht wissen, welche Anwender auf welche Dienste und Anwendungen zugreifen. Das ist darauf zurückzuführen, dass die Datencontainer als Information zu ihrer Quelle die IP-Adresse des sendenden Systems, aber nicht den Namen des jeweiligen Anwenders enthalten, der mit diesem System (Desktop-PC, Laptop etc.) arbeitet. Zudem können sich die IP-Adressen dieser Systeme ändern, sodass kein belastbarer Zusammenhang zwischen dem Namen des Anwenders und der Absenderadresse in den Datencontainern gegeben sein muss.

Kritisches Informationsdefizit?
Ob dieses Informationsdefizit kritisch ist, hängt von den Anforderungen ab. Gehen die Verbindungen von autark arbeitenden Maschinen (z. B. Monitor) aus, dann existiert in diesem Fall kein klassischer Anwender. Werden dagegen die Verbindungen der Arbeitsplatzrechner in Richtung Internet über die Firewall geführt, dann kann der Zusammenhang zwischen IP-Adresse und Benutzername durchaus interessant sein. Damit ist es dann z. B. möglich, eine Regel zu schreiben, die dem Auszubildenden Pfeiffer den Aufruf von fragwürdigen Webseiten verbietet. Das ist mit Blick auf die Verantwortung, die Sie gegenüber den Auszubildenden haben, keine uninteressante technische Maßnahme, da sich Pfeiffer bekanntlich nicht an formale Spielregeln hält.

Abb. 20: Beispiel Hans Pfeiffer

Applications und URLs
Die Abbildung 20 zeigt eine entsprechende Firewall-Regel. Sie können nicht sehen, welche Anwendungen Hans Pfeiffer nicht verwenden darf oder welche Webseiten er nicht aufrufen kann. Diese Einstellungen verbergen sich in den Registerkarten Applications und URLs. Es ist aber zu sehen, dass diese Regel für Hans Pfeiffer geschrieben wurde. In der Praxis ist es allerdings eher unüblich, dass personenbezogene Firewall-Regeln existieren. In unserem Beispiel würde man die Gruppe Auszubildende wählen, der Hans Pfeiffer zugehörig ist.

Wenn die Datencontainer (IP-Pakete) aber IP-Adressen und keine Namen enthalten, woher weiß die Firewall dann, dass ein Datencontainer von einem Rechner auf die Reise geschickt wurde, an dem Hans Pfeiffer angemeldet ist? Da die technischen Details an dieser Stelle wieder einmal nicht zielführend sind, beschränken wir uns auf eine einfache Erklärung: Die Firewall fragt ein zentrales Verzeichnis (z. B. ein Microsoft Active Directory), welche Anwender aktuell an den Rechnern im Netz angemeldet sind, und erfährt darüber auch die aktuelle IP-Adresse dieser Rechner. Über den Namen des Anwenders kann sich die Firewall auch über selbiges Directory Auskunft darüber geben lassen, welcher Gruppe ein Anwender zugehörig ist.

2.6 URL Filtering

Uniform Resource Locator (URL)
Das Thema URL Filtering (URL: Uniform Resource Locator) ist sicherlich leichte technische Kost. Die Firewall prüft hier die von den Anwendern aufgerufenen Webseiten. Verstößt der Aufruf einer Webseite gegen die Vorgaben, dann wird er unterbunden und der Anwender erhält in der Regel eine entsprechende Information. Die einzelnen Webseiten werden von den Herstellern mithilfe von Kategorien (s. Abbildung 21 z. B. Business and Economy) klassifiziert, wobei eine bestimmte Kategorie (und damit alle Webseiten dieser Kategorie) oder auch individuelle Webseiten durch die Firewall für einen Zugriff gesperrt werden können. URL Filtering wird allerdings nicht nur von Firewall-Systemen angeboten. Vielmehr ist dies auch eine Kernfunktion der Web-Proxies.

Abb. 21: Beispiele zu URL Kategorien (Ausschnitt)

Die Abbildung 22 ist ein Beispiel für eine Meldung, die ein Anwender beim Aufruf einer Seite erhält, wenn der Aufruf dieser Seite verboten ist und von der Firewall blockiert wird.

Abb. 22: Regelverstoß

Cloud-Unterstützung
Sie können sich sicherlich vorstellen, dass es kaum möglich ist, alle Webseiten im Internet zu klassifizieren, zumal täglich neue Webseiten hinzukommen. Unabhängig von dieser Erkenntnis ist sicherlich auch klar, dass die Datenbank mit allen klassifizierten Webseiten extrem groß sein muss. Das führt dazu, dass die Firewall-Systeme oft z. B. durch die Cloud des Herstellers unterstützt werden. Das heißt, sobald die Firewall eine Webseite nicht über ihre lokale Datenbank klassifizieren kann, fragt sie im externen Rechenzentrum (in der Cloud) nach, ob diese Webseite bekannt und welcher Kategorie sie zugehörig ist. Die lokale Datenbank enthält in der Regel immer nur einen Auszug der Datenbank im Rechenzentrum. Sollte die Kategorie letztendlich nicht ermittelt werden können, so ist im Regelwerk eine Regel vorzusehen, die festlegt, was beim Aufruf von unbekannten Webseiten passieren soll.

URL-Filter
Wie auch schon die Ermittlung des Namens und der Gruppenzugehörigkeit eines Anwenders, so ist auch ein URL-Filter keine Funktion, die zur Kontrolle aller Verbindungen erforderlich ist, die über eine Firewall führen. So spielen solche Filter sicherlich eine große Rolle, wenn die Kommunikation der Anwender in Richtung Internet gewissen Vorgaben unterstellt werden soll. Dahingegen spielen sie z. B. am Übergang zwischen dem Leitstand und den im Netzwerk verteilten Komponenten der Gebäudesteuerung und der Gebäudeautomation eine – wenn überhaupt – untergeordnete Rolle.

2.7 IDS/IPS

Anomalien
Ein Intrusion Detection System (IDS) bzw. Intrusion Prevention System (IPS) überprüft die einzelnen Datencontainer auf Anomalien (d. h. Abweichungen vom üblichen Inhalt) und kann auch Unstimmigkeiten in der Kommunikation selbst – über mehrere zwischen Absender und Empfänger ausgetauschte Datencontainer hinweg – erkennen. Der Unterschied zwischen IDS und IPS ist wie folgt definiert:

•

Eine IPS-Lösung ist mit Blick auf den Fluss der Datencontainer immer inline und kann somit auch einen auffälligen Datencontainer am Durchgang hindern bzw. eine auffällige Kommunikation unterbinden.

•

Ein IDS-System können Sie mit einer Überwachungskamera vergleichen. Diese kann einen Einbruch sehen, aber nicht verhindern. Ein IDS System bekommt lediglich eine Kopie der Datencontainer zugespielt und ist nicht inline geschaltet. Das heißt, das IDS System kann diese Kopien zwar analysieren und bei einer Auffälligkeit natürlich auch einen Alarm melden, ein aktiver Eingriff in den Kommunikationsfluss ist aber nicht möglich.

Für einen Netzwerklaien ist, vor dem Kontext von Datencontainern, der Begriff Anomalie sicherlich schwer zu verstehen. Zwei einfache Beispiele unterschiedlicher Qualität sollen hier helfen eine Brücke zu bauen.

Ping
•	Ein System kann über das Netzwerk ein anderes System fragen, ob es noch verfügbar ist. Der Netzwerker bezeichnet so eine Abfrage umgangssprachlich als Ping. Für ein IDS/IPS-System ist so ein Ping erst einmal keine Anomalie. Wenn aber ausgehend von einem einzelnen System solche Anfragen zu sehr vielen anderen Systemen gesendet werden, dann können Sorgen durchaus berechtigt sein, denn vielleicht möchte dieses System das Netzwerk erkunden, was durchaus die Vorbereitung eines Angriffs sein kann.
Ping of Death
•	Die von einem System erzeugten Datencontainer können max. 65.536 Bytes groß sein. Bevor ein solch großer Container dem Netzwerk anvertraut wird, muss er durch das System portioniert werden, d. h., es werden kleinere Datencontainer zum Ziel transportiert. Wenn der Empfänger den ersten kleinen Container empfängt, weiß er, dass noch weitere dieser kleinen Container folgen müssen und wartet so lange, bis alle Container eingetroffen sind. Nach dem Empfang von 65.536 Bytes können definitiv keine weiteren kleinen Container mehr eintreffen. Sollte der vermeintlich letzte Container aber signalisieren, dass doch noch weitere Container folgen werden, dann wird hier die Theorie untergraben, d. h., aus technischer Sicht kann das nicht sein. Das dachten sich auch die damaligen Betriebssysteme und stellten teilweise ihre Arbeit ein. Das heißt, dieser einfache Angriff nutzte eine Lücke in der „Speicherverwaltung” der Betriebssysteme und wurde sinnigerweise als Ping of Death bezeichnet.

Signaturen
Der Autor möchte Ihnen nicht die Illusion nehmen, dass Sie das Thema damit vollständig verstanden haben, aber heutige Angriffe sind oft weitaus komplexer. Um Angriffsmuster zu erkennen, werden sogenannte Signaturen eingesetzt. Diese werden vom Hersteller bereitgestellt und ständig aktualisiert und erweitert. Heutige IDS/IPS-Systeme verfügen über mehrere Tausend Signaturen, was durchaus einen Beitrag zur der mit diesen Systemen einhergehenden Komplexität leistet. Insbesondere dann, wenn man solche Signaturen auch selbst schreibt.

False Positive
Eine große Herausforderung beim Thema IDS/IPS ist die Anpassung des Systems an die jeweilige Einsatzumgebung. In unserem obigen Beispiel kann es ja sein, dass ein Managementsystem in kurzen Abständen prüft, ob die von ihm verwalteten Komponenten noch erreichbar sind. Ein IDS/IPS-System kennt solche Zusammenhänge nicht und generiert deshalb eventuell einen Alarm. Da dieser vor dem beschriebenen Kontext aber kein wichtiges Ereignis meldet, wird die entsprechende Meldung als False Positive klassifiziert. Generiert ein IDS/IPS-System eine hohe Anzahl an solchen False-Positiv-Meldungen, dann leitet sich daraus ein sehr hoher Aufwand ab, denn prinzipiell muss jede Meldung analysiert werden. In der Praxis führt das dazu, dass IDS/IPS-Systeme in vielen Fällen nicht in einen Incident-Management Prozess eingebunden sind (zu viele nervende Alarme) oder ein Unternehmen dieses Thema im Rahmen der möglichen Sicherheitsmaßnahmen nicht berücksichtigt.

Angriff erschweren
Moderne IDS/IPS-Systeme können bei der Anpassung an die jeweilige Umgebung behilflich sein. Das heißt, sie lernen automatisch die Betriebssysteme der einzelnen Systeme im Netz, sowie auch die von diesen Systemen angebotenen Dienste und können auch Informationen zu Patch und Release Ständen manuell oder automatisch zugeführt bekommen. Mithilfe dieser Informationen können IDS/IPS-Systeme eigenständig entscheiden, ob ein erkanntes Angriffsmuster wirklich einen Alarm von hoher Priorität auslösen muss. Das heißt, das System kann den Angriff vor dem Kontext der zum angegriffenen System gesammelten Informationen bewerten. So kann z. B. ein Angriffsmuster für einen Microsoft Webserver erkannt werden. Der Angriff ist real und muss deshalb gemeldet werden. Die Meldung muss aber keine sehr hohe Priorität haben, wenn es sich bei den angegriffenen Systemen um Webserver auf der Basis von Linux handelt.

Aufbau Signatur
Was versteht man nun aber unter einer Signatur? Eine Signatur ist eine Regel, die eine ganz bestimmte Zeichenfolge in einem Datenstrom sucht, auf ganz bestimmte Steuerbefehle achtet oder bestimmte IP-Adressen berücksichtigt. Letztlich kann eine Signatur auch aus einer Kombination von solchen Kriterien bestehen. Der Autor möchte bewusst auf weitere Details zum Thema Signaturen verzichten. Wenn es ein interessierter Leser aber auf den Punkt gebracht haben möchte, dann kann er sich in Abbildung 23 den Aufbau einer einfachen Signatur anschauen.

Abb. 23: Eine IPS-Signatur unter der Lupe

Eindeutige Kennung
Jede Signatur hat eine eindeutige Kennung (ID: Identification). Im Bild ist die Signatur mit der Kennung 4060 zu sehen. Das für diesen Screenshot verwendete IDS/IPS-System verwendet Regeln auf der Basis der Snort Syntax. Snort ist eine weit verbreitete Open-Source-IPS-Lösung (www.snort.org). Die Snort-Regel mit der SID (SID: Snort ID 4060) sucht in einem Datencontainer die nachfolgenden Informationen. Sind diese enthalten, dann generiert die Regel einen Alarm.

•	Verbindung auf der Basis von TCP
•	IP-Absenderdressen, die in der Variablen $EXTERNAL_NET hinterlegt sind
•	IP-Zieladressen, die in der Variablen $HOME_NET hinterlegt sind
•	Der angesprochene Service: Microsoft Remote Desktop Protocol (Port 3389)

Mehrwert generieren
Prinzipiell ist der Schutz durch ein IDS/IPS-Regelwerk nicht so situationsgebunden wie z. B. ein URL-Filter. Selbst wenn die Firewall die Kommunikation von Systemen untereinander überwacht, die aus Sicht des Betreibers zu einer geschlossenen Systemlösung gehören (z. B. eine Patientenmonitoring-Lösung), kann eine solche Sicherheitsmaßnahme Mehrwerte generieren. Wird z. B. ein System innerhalb dieser Lösung mit Malware infiziert – erst einmal ungeachtet der Frage, wie das passieren kann –, dann wird dies eventuell (es gibt natürlich keine Garantie) erkannt. Abhängig von der Kritikalität der betrachteten Lösung ist eine daraus resultierende Unterbindung der Kommunikation eventuell nicht erwünscht, da letztendlich False-Positive-Ereignisse nicht ausgeschlossen werden können. Insofern wird die Firewall in diesem Fall so konfiguriert, dass nur Alarme generiert werden.

Komplexe Lösungen
Letztlich ist anzumerken, dass IDS/IPS-Lösungen komplexe Lösungen sind, die betriebsseitig eine entsprechende Aufmerksamkeit benötigen. Das heißt, die Systeme müssen in agilen Umgebungen ständig an veränderte Anforderungen (z. B. den Einsatz einer neuen Anwendung, auf den Systemen eingespielte Updates etc.) angepasst werden. Dies ist leider nicht völlig automatisiert möglich. Lässt die erforderliche Aufmerksamkeit und Pflege nach, dann ist der Mehrwert der Alarmierung durch ein IDS/IPS-System durchaus infrage zu stellen. Dies gilt auch dann, wenn kein festgelegter Incident-Management und Eskalationsprozess existiert, bzw. dieser darin besteht, dass der Firewall-Administrator (der nicht zwingend auch das Know-how eines Security-Analysten hat) jeden Freitagnachmittag den z. B. in einer Mailbox aufgelaufenen Alarmen seine in Sekunden zu beziffernde Aufmerksamkeit widmet und dann die selbst definierte Handlungsanweisung „Markieren und Löschen” ausführt.

2.8 Malware

Advanced Persistent Threats
Malware – d. h. schadhafte Software – ist ein heute sehr aktuelles Thema, da diese in der Regel sehr kleinen Programme im Rahmen der Cyberkriminalität oft die Aktivitäten einleiten, die dem Angreifer zu einem meist dauerhaft unbemerkten Zugang zu den Daten eines Unternehmens verhelfen. In der Praxis spricht man in solchen Fällen von Advanced Persistent Threats. Aber selbst wenn weniger professionell programmierte und weniger gezielt eingesetzte Malware den Weg in ein Unternehmen findet, so kann dies unter Umständen zum Ausfall von Systemen führen oder einfach „nur” die Ressourcen der IT-Abteilung binden, da der Störenfried wieder von den Systemen entfernt werden muss. Insofern ist es nicht verwunderlich, dass eine Firewall auch mit Blick auf das Thema Malware Schutzmechanismen bieten muss. Denn letztlich kontrolliert die Firewall die Kommunikationen zwischen unterschiedlichen Bereichen und ist für eine zulässige Verbindung so natürlich auch eine Schleuse zwischen zwei Bereichen, die beide Kommunikationspartner im Rahmen einer bestehenden Verbindung für den Transport von Daten (d. h. auch Malware) nutzen können.

Security Cloud
Einige Hersteller von Firewall-Lösungen verzichten zugunsten von Performance und Durchsatz auf die lokale Überprüfung der über die Firewall transferierten Files auf Malware. Zudem geht man heute davon aus, dass die für eine intelligente Untersuchung erforderlichen Verfahren und Telemetrie-Daten nicht mehr lokal auf dem System vorgehalten werden können und die Malware-Analyse deshalb in eine von ihnen betriebene Security Cloud ausgelagert werden muss. Das heißt, die Firewall analysiert die über sie transferierten Files nicht selbst, sondern fragt die Security Cloud des Herstellers, ob es sich bei diesen Files um Malware handelt. Bei einem positiven Bescheid wird die Malware nicht ausgeliefert. Die Firewall muss die Files dafür nicht zwingend in die Cloud hochladen. Vielmehr wird eine einfache Anfrage an die Cloud geschickt, die lediglich eine eindeutige Identifizierung des Files, nicht aber das File selbst beinhalten muss. (Anmerkung: Hier unterscheiden sich allerdings die Lösungen der einzelnen Hersteller.) Die Cloud kann diese Frage – wenn ihre Datenbank das Thema Big Data und damit auch das Thema Suchanfragen professionell bedient – sehr schnell beantworten, sodass dieser Prozess keinen zu großen Einfluss auf den Durchsatz der Firewall hat.

Prozesse und Tool planen
Der Leser stellt sich sicherlich die Frage, was mit einem File passiert, wenn die Security Cloud das File noch nicht kennt und somit nicht sofort sagen kann, ob es sich bei diesem File um Malware oder nicht um Malware handelt? Da eine Firewall kein Speichersystem für Files ist, wird sie solche Files ausliefern. Zum Zeitpunkt zu dem sie eine (schnelle) Entscheidung treffen musste, konnte das File noch nicht als Malware klassifiziert werden. Es ist nicht auszuschließen, dass das entsprechende File nach der Zustellung irgendwann (Minuten, Stunden, Tage etc.) auch der Cloud bekannt ist und als Malware klassifiziert wird. Mit diesem Risiko muss man wohl leben. Vor einem professionellen Kontext bedeutet dies, dass man das Risiko der Zustellung von Malware berücksichtigen und die für diesen Fall notwendigen Prozesse und Tools planen muss.

3 Next-Generation Firewall (NGFW)

Neue Generation
Die neue Generation der Firewall-Systeme – sogenannte Next Generation Firewalls – adressieren die in diesem Artikel aufgeführten neuen Anforderungen an das Thema Firewall und integrieren die beispielhaft vorgestellten Sicherheitsfunktionen. Insofern ist an dieser Stelle eine technische Erklärung der Arbeitsweise dieser Systeme nicht mehr erforderlich. Es sei lediglich angemerkt, dass aktuell noch keine Norm existiert, die eine verbindliche Definition liefert und die Arbeitsweise, sowie den Funktionsumfang dieser Systeme festlegt. Deshalb sind dieses Thema und seine Ausprägungen aktuell noch sehr stark durch die Differenzierungsstrategien der verschiedenen Hersteller und deren Marketing-Abteilungen geprägt.

BSI-Empfehlungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen seiner Veröffentlichungen zur Cyber-Sicherheit ein Dokument (BSI-CS 112) zum Thema Next Generation Firewalls (Empfehlung von Einsatzmöglichkeiten für den normalen Schutzbedarf) veröffentlicht [1]. In diesem Dokument spricht das BSI Empfehlungen zu den von einer Next Generation Firewall zu integrierenden Sicherheitskomponenten und ihren Eigenschaften aus.

Gesamtbild
Da in diesem Beitrag die neuen Anforderungen und die entsprechenden technischen Maßnahmen etappenweise vorgestellt wurden, fehlt an dieser Stelle noch das Gesamtbild: Die Konsolidierung der technischen Maßnahmen über das Regelwerk einer Next Generation Firewall. Der Screenshot (s. Abbildung 24) zeigt, wie eine NGFW-Regel aufgebaut sein kann.

Abb. 24: Aufbau einer Next-Generation-Firewall-Regel

Sie erinnern sich noch an den Aufbau des Regelwerks einer konventionellen Stateful Firewall? Hier beinhaltete eine Regel primär die folgenden Parameter:

•	Netzwerkbereiche (im Bild: Zonen)
•	IP-Adresse von Absender und Ziel (im Bild: Networks)
•	Portnummern (im Bild: Ports)

Ergänzende Parameter
Eine Regel innerhalb des Regelwerks einer Next Generation Firewall beinhaltet natürlich ebenfalls diese Parameter, ergänzt sie aber z. B. um die folgenden Informationen:

•	Welche Anwendungen sollen erlaubt/verboten werden?
•	Welche Webseiten sollen erlaubt/verboten werden?

First Match Out
Wie üblich wird das Regelwerk einer Next Generation Firewall von oben nach unten gemäß „First Match Out” abgearbeitet. Um auch hier den Experten unter den Lesern gerecht zu werden, soll nicht unerwähnt bleiben, dass ein First-Match-Out-Verfahren nicht ganz so trivial wie bei einer konventionellen Firewall ist: Die Firewall muss nämlich eventuell erst mehrere Datencontainer gesehen haben (die dann natürlich auch erlaubt sein müssen), bevor sie die final gültige Regel identifizieren kann.

Ist die über eine Next Generation Firewall geführte Verbindung zulässig, dann kann die entsprechende Kommunikation zwischen den beiden kommunizierenden Systemen noch weiteren Untersuchungen unterzogen werden:

•	Werden nicht unerwünschte File-Typen übertragen?
•	Wird Malware übertragen?
•	Sind in den Datencontainern und im Kommunikationsfluss Anomalien zu erkennen?

Es kann also sein, dass ein Anwender eine bestimmte Webseite aufrufen darf, die Firewall aber eine Malware erkennt und den Transfer der Daten vom Server hin zum Client unterbricht.

Ein primäres Merkmal der Next Generation Firewalls ist die Sichtbarkeit der diversen Anwendungen. Wer heute noch eine klassische Firewall einsetzt, ist im „Blindflug” unterwegs. Er kann z. B. die über HTTP (Port 80) und HTTPS (Port 443) kommunizierenden Anwendungen nicht differenzieren und somit natürlich auch nicht kontrollieren. Die Sichtbarkeit in Kombination mit einem aussagekräftigen Reporting ermöglicht an den dedizierten Netzübergängen eine effiziente, flexible und effektive Umsetzung der heutigen Anforderungen an das Thema Sicherheit.

Updates
Damit die Dienste (z. B. URL und Malware-Filter, IDS/IPS) einer Next Generation Firewall auch für die Dauer des Lebenszyklus des Produkts immer auf dem aktuellsten Stand sind, ist der Betreiber der Firewall auf die Updates des Herstellers angewiesen. Dieser stellt diese oft in Form von Abonnements zur Verfügung. Dies ist mit Blick auf die Bezifferung der operativen Kosten einzuplanen. Es ist zudem auch noch die triviale Erkenntnis zu berücksichtigen, dass die Firewall-Systeme permanent mit der Cloud kommunizieren müssen, was in einigen Umgebungen (z. B. in einem hochkritischen Bereich) nicht immer trivial umzusetzen ist.

4 Zusammenfassung

Unterschiedliche Sicherheitsniveaus
Firewalls sind die Türsteher der vernetzten Welt. Sie trennen Netzbereiche, um den Systemen innerhalb eines Bereichs ein gewünschtes Sicherheitsniveau bieten zu können. An den unterschiedlichen Grenzen ist nicht immer das gleiche Sicherheitsniveau erforderlich. Deshalb müssen technische Maßnahmen wie z. B. SSL-Entschlüsselung oder URL-Filter vor dem Kontext der jeweiligen Anforderungen bewertet werden.

Das Thema Sicherheit ist sehr vielschichtig und kann deshalb nicht durch eine einzige Maßnahme und ein einziges Produkt adäquat adressiert werden. So ist eine Firewall wertlos, wenn die Anwender sorglos mit wichtigen Daten umgehen und sie auf mobilen, kleinen Datenträgern transportieren, ihren Rechner bei Abwesenheit nicht sperren oder Besucher sehr einfach einen physischen Zugang zu kritischen Bereichen erlangen können.

Zitat Albert Einstein
Das von Albert Einstein stammende Zitat „Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher” ist vor dem Kontext der Diskussionen um das Thema Sicherheit sicherlich schon überstrapaziert worden. Da die vernetzte Welt aber immer komplexer wird (Virtualisierung, Software, Internet der Dinge etc.), neigen Lösungen dazu, kompliziert zu werden. Letztgenanntes erhöht das Potenzial für durch den Menschen verursachte Fehler. Das heißt, ein kompliziertes Firewall-Regelwerk ist schwieriger zu verstehen und zu überprüfen als wenige klar strukturierte Regeln.

Compliance-Anforderungen
Beim Thema Sicherheit und damit natürlich auch beim Thema Firewall sind oft auch Compliance-Anforderungen zu berücksichtigen. Diese bergen in einigen Fällen das Risiko, schnell zum Blendwerk zu werden, da die Aussage „Wir sind compliant” oft sofort in einen kausalen Zusammenhang mit der Aussage „Wir sind sicher” gebracht wird. Es ist allerdings sinnvoller, wenn man die Aussage „Wir sind compliant” aus der verifizierten Tatsache „Wir sind sicher” ableitet. Eine letzte Anmerkung sei allerdings noch gestattet: Eine hundertprozentige Sicherheit gibt es nicht. Auch nicht im Zeitalter der Next Generation Firewalls.

Quellen

www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_112.html

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
Onlinezugriff – überall verfügbar

4 Wochen gratis testen

Sie haben schon ein Abonnement oder testen bereits? Hier anmelden