Eine Firewall ist ein Sicherheitssystem für Computernetzwerke, das den Internetverkehr in, aus oder innerhalb eines privaten Netzwerks einschränkt.
Diese Software oder spezielle Hardware-Software-Einheit funktioniert, indem sie selektiv Datenpakete blockiert oder zulässt. Sie soll in der Regel dazu beitragen, bösartige Aktivitäten zu verhindern und zu verhindern, dass jemand – innerhalb oder außerhalb eines privaten Netzwerks – unerlaubte Web-Aktivitäten durchführt.
Firewalls können als Grenzübergänge oder Gateways betrachtet werden, die den Verkehr von erlaubten und verbotenen Webaktivitäten in einem privaten Netzwerk steuern. Der Begriff leitet sich von dem Konzept ab, dass physische Wände Barrieren sind, welche die Ausbreitung eines Feuers verlangsamen, bis die Einsatzkräfte es löschen können. Im Vergleich dazu dienen Netzwerksicherheits-Firewalls der Verwaltung des Internetverkehrs – in der Regel, um die Ausbreitung von Webbedrohungen zu verlangsamen.
Firewalls schaffen „Kontrollpunkte“, an denen der Internetverkehr abgefangen wird. Diese werden dann anhand einer Reihe von programmierten Parametern überprüft, und es wird entsprechend reagiert. Einige Firewalls verfolgen den Datenverkehr und die Verbindungen auch in Audit-Protokollen, um festzustellen, was erlaubt oder blockiert wurde.
Firewalls werden in der Regel dazu verwendet, die Grenzen eines privaten Netzwerks oder seiner Host-Geräte abzuschotten. Somit sind Firewalls ein Sicherheitsinstrument in der umfassenderen Kategorie der Benutzerzugriffskontrolle. Diese Barrieren werden in der Regel an zwei Stellen eingerichtet – auf dedizierten Computern im Netzwerk oder auf den Benutzer-Computern und anderen Endgeräten selbst (Hosts).
Eine Firewall entscheidet, welcher Netzwerkverkehr durchgelassen wird und welcher Verkehr als gefährlich eingestuft wird. Im Wesentlichen funktioniert es, indem es die guten von den schlechten oder die vertrauenswürdigen von den nicht vertrauenswürdigen herausfiltert. Bevor wir jedoch ins Detail gehen, ist es hilfreich, die Struktur von webbasierten Netzwerken zu verstehen.
Firewalls sollen private Netzwerke und die darin befindlichen Endpoint-Geräte, die so genannten Netzwerk-Hosts, schützen. Netzwerk-Hosts sind Geräte, die mit anderen Hosts im Netzwerk "kommunizieren". Sie senden und empfangen zwischen internen Netzwerken, sowie ausgehend und eingehend zwischen externen Netzwerken.
Computer und andere Endpoint-Geräte benutzen Netzwerke, um auf das Internet und untereinander zuzugreifen. Das Internet ist jedoch aus Gründen der Sicherheit und des Datenschutzes in Teilnetze oder „Subnetze“ unterteilt. Die grundlegenden Teilnetzsegmente sind wie folgt:
Screening-Router sind spezielle Gateway-Computer, die in einem Netzwerk platziert werden, um es zu segmentieren. Sie werden auf Netzwerkebene als Haus-Firewalls bezeichnet. Die beiden gängigsten Segmentmodelle sind die abgeschirmte Host-Firewall und die abgeschirmte Subnetz-Firewall:
Sowohl der Netzwerkperimeter als auch die Host-Rechner selbst können eine Firewall enthalten. Zu diesem Zweck wird er zwischen einem einzelnen Computer und dessen Verbindung zu einem privaten Netzwerk platziert.
Eine Netzwerk-Firewall muss gegen eine Vielzahl von Verbindungen konfiguriert werden, während eine Host-Firewall auf die Bedürfnisse des jeweiligen Rechners zugeschnitten werden kann. Host-Firewalls erfordern jedoch mehr Aufwand bei der Anpassung, so dass sich netzwerkbasierte Lösungen ideal für eine umfassende Kontrolle eignen. Aber der Gebrauch beider Firewalls an beiden Standorten gleichzeitig ist ideal für ein mehrschichtiges Sicherheitssystem.
Die Filterung des Datenverkehrs über eine Firewall macht Gebrauch von voreingestellten oder dynamisch erlernten Regeln, um Verbindungsversuche zuzulassen oder abzulehnen. Mit diesen Regeln reguliert eine Firewall den Fluss des Internetverkehrs durch Ihr privates Netzwerk und Ihre privaten Computergeräte. Unabhängig vom Typ filtern alle Firewalls nach einer Kombination der folgenden Punkte:
Quelle und Ziel werden über Internetprotokolladressen (IP) und Ports kommuniziert. IP-Adressen sind eindeutige Gerätenamen für jeden Host. Ports sind eine Unterebene eines bestimmten Quell- und Zielhostgeräts, ebenso wie Büroräume in einem größeren Gebäude. Ports sind in der Regel bestimmten Zwecken zugewiesen, so dass bestimmte Protokolle und IP-Adressen, die ungewöhnliche oder deaktivierte Ports verwenden, ein Problem darstellen können.
Durch den Gebrauch dieser Kennungen kann eine Firewall entscheiden, ob ein Datenpaket, das eine Verbindung herzustellen versucht, verworfen werden soll – stillschweigend oder mit einer Fehlerantwort an den Absender – oder weitergeleitet werden soll.
Verschiedene Arten von Firewalls verfügen über unterschiedliche Filtermethoden. Obwohl jede Art entwickelt wurde, um frühere Generationen von Firewalls zu übertreffen, ist ein Großteil der Kerntechnologie zwischen den Generationen übergegangen.
Die Firewall-Arten unterscheiden sich durch ihre Vorgehensweise:
Jede Art arbeitet auf einer anderen Ebene des standardisierten Kommunikationsmodells, dem Open Systems Interconnection-Modell (OSI). Anhand dieses Modells können Sie sich besser vorstellen, wie jede Firewall mit Verbindungen interagiert.
Statische Firewalls mit Paketfilterung, auch bekannt als zustandslose Inspektions-Firewalls, arbeiten auf der OSI-Netzwerkschicht (Schicht 3). Diese bieten eine grundlegende Filterung, indem sie alle einzelnen Datenpakete, die über ein Netzwerk gesendet werden, daraufhin überprüfen, woher sie kommen und wohin sie gehen sollen. Insbesondere werden zuvor akzeptierte Verbindungen nicht nachverfolgt. Das bedeutet, dass jede Verbindung mit jedem gesendeten Datenpaket neu genehmigt werden muss.
Die Filterung basiert auf IP-Adressen, Ports und Paketprotokollen. Diese Firewalls verhindern zumindest, dass sich zwei Netzwerke ohne Genehmigung direkt miteinander verbinden.
Die Regeln für die Filterung werden auf der Grundlage einer manuell erstellten Zugriffskontrollliste festgelegt. Diese sind sehr starr und es ist schwierig, unerwünschten Datenverkehr angemessen abzudecken, ohne die Nutzbarkeit des Netzwerks zu befallen. Die statische Filterung erfordert eine ständige manuelle Überarbeitung, um effektiv genutzt werden zu können. In kleinen Netzwerken ist das noch überschaubar, in größeren kann es schnell schwierig werden.
Die Unfähigkeit, Anwendungsprotokolle zu lesen, bedeutet, dass der Inhalt einer Nachricht, die in einem Paket geliefert wird, nicht gelesen werden kann. Ohne den Inhalt zu lesen, bieten paketfilternde Firewalls nur einen begrenzten Schutz.
Gateways auf Leitungsebene arbeiten auf der Sitzungsebene (Schicht 5). Diese Firewalls prüfen, ob die Pakete bei einem Verbindungsversuch funktionieren und erlauben – wenn sie gut funktionieren – eine dauerhaft offene Verbindung zwischen den beiden Netzwerken. Die Firewall überwacht die Verbindung nicht mehr, nachdem dies geschehen ist.
Abgesehen von der Herangehensweise an Verbindungen kann das Circuit-Level-Gateway ähnlich wie Proxy-Firewalls funktionieren.
Die fortlaufende, nicht überwachte Verbindung ist gefährlich, da legitime Mittel die Verbindung öffnen und später einem böswilligen Akteur den ununterbrochenen Zugang ermöglichen könnten.
Stateful-Inspection-Firewalls, auch dynamische Paketfilter-Firewalls genannt, unterscheiden sich von statischen Filtern durch ihre Fähigkeit, laufende Verbindungen zu überwachen und frühere Verbindungen zu speichern. Anfangs arbeiteten sie auf der Transportschicht (Schicht 4), aber heute können diese Firewalls viele Schichten überwachen, darunter auch die Anwendungsschicht (Schicht 7).
Wie die statische Filter-Firewall erlauben oder blockieren Stateful-Inspection-Firewalls den Datenverkehr auf der Grundlage technischer Eigenschaften, wie z. B. bestimmter Paketprotokolle, IP-Adressen oder Ports. Diese Firewalls verfolgen jedoch auch eindeutig den Zustand der Verbindungen und filtern ihn anhand einer Zustandstabelle.
Diese Firewall aktualisiert die Filterregeln auf der Grundlage vergangener Verbindungsereignisse, die vom Screening-Router in der Statustabelle protokolliert wurden.
Generell basieren die Filterentscheidungen oft auf den Regeln, die der Administrator bei der Einrichtung des Computers und der Firewall festgelegt hat. Die Zustandstabelle ermöglicht es diesen dynamischen Firewalls jedoch, ihre eigenen Entscheidungen auf der Grundlage früherer Interaktionen zu treffen, aus denen sie „gelernt“ haben. Datenverkehrstypen, die in der Vergangenheit zu Störungen führten, können beispielsweise in Zukunft herausgefiltert werden. Die Flexibilität der Stateful-Inspection hat sie zu einer der am weitesten verbreiteten Arten von Schutzschilden gemacht.
Proxy-Firewalls, auch bekannt als Firewalls auf Anwendungsebene (Schicht 7), sind einzigartig, da sie Anwendungsprotokolle lesen und filtern. Diese kombinieren Inspektion auf Anwendungsebene oder „Deep Packet Inspection (DPI)“ und Stateful-Inspection.
Eine Proxy-Firewall kommt einer echten physischen Barriere so nahe wie keine andere. Im Gegensatz zu anderen Arten von Firewalls fungiert sie als zwei zusätzliche Hosts zwischen externen Netzwerken und internen Host-Computern, wobei einer als Vertreter (oder „Proxy“) für jedes Netzwerk fungiert.
Die Filterung basiert auf Daten auf Anwendungsebene und nicht nur auf IP-Adressen, Ports und grundlegenden Paketprotokollen (UDP, ICMP) wie bei paketbasierten Firewalls. Das Lesen und Verstehen von FTP-, HTTP-, DNS- und anderen Protokollen ermöglicht eine gründlichere Untersuchung und ein Cross-Filtering für viele verschiedene Dateneigenschaften.
Ebenso wie ein Wächter an einer Tür, schaut er sich die eingehenden Daten an und wertet sie aus. Wenn kein Problem festgestellt wird, werden die Daten zum Benutzer durchgelassen.
Der Nachteil dieser strengen Sicherheitsvorkehrungen ist, dass sie manchmal eingehende Daten stören, die keine Bedrohung darstellen, was zu Funktionsverzögerungen führt.
Neue Bedrohungen erfordern nach wie vor intensive Lösungen, und die Firewalls der nächsten Generation kommen dieser Anforderung nach, indem die Funktionen einer herkömmlichen Firewall mit Systemen zur Angriffsüberwachung in Netzwerken kombiniert werden.
Bedrohungsspezifische Firewalls der nächsten Generation sind so konzipiert, dass sie spezifische Bedrohungen, wie z. B. fortgeschrittene Malware, auf einer detaillierteren Ebene untersuchen und identifizieren. Sie werden häufiger von Unternehmen und anspruchsvollen Netzwerken verwendet und bieten eine ganzheitliche Lösung zum Herausfiltern von Bedrohungen.
Wie der Name schon sagt, verwenden hybride Firewalls zwei oder mehr Firewall-Typen in einem einzigen privaten Netzwerk.
Die Erfindung der Firewall sollte als fortlaufend betrachtet werden. Das liegt daran, dass es sich ständig weiterentwickelt und dass mehrere Schöpfer an seiner Entwicklung und Weiterentwicklung beteiligt waren.
Von Ende der 1980er bis Mitte der 90er Jahre erweiterte jeder Entwickler verschiedene Firewall-Komponenten und -Versionen, bevor es zu dem Produkt wurde, das als Grundlage für alle modernen Firewalls verwendet wird.
Brian Reid, Paul Vixie und Jeff Mogul
In den späten 1980er Jahren waren Mogul, Reid und Vixie bei der Digital Equipment Corp (DEC) an der Entwicklung einer Technologie zur Paketfilterung beteiligt, die in zukünftigen Firewalls zum Einsatz kommen sollte. Dies führte zu dem Konzept, externe Verbindungen zu überprüfen, bevor sie mit Computern in einem internen Netzwerk in Kontakt treten. Auch wenn einige diesen Paketfilter als die erste Firewall betrachten, war er eher eine Komponententechnologie, welche die späteren echten Firewall-Systeme unterstützte.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick und Steven Bellovin
In den späten 80er bis frühen 90er Jahren erforschten und entwickelten verschiedene Mitarbeiter der AT&T Bell Labs das frühe Konzept der Gateway-Firewall auf Leitungsebene. Dies war die erste Firewall, die laufende Verbindungen überprüfte und zuließ, anstatt nach jedem Datenpaket eine erneute Autorisierung durchzuführen. Presotto, Sharma und Nigam entwickelten von 1989 bis 1990 das Circuit-Level-Gateway. 1991 folgte die Arbeit von Cheswick und Bellovin mit der Firewall-Technologie.
Marcus Ranum
Von 1991 bis 1992 erfand Ranum bei DEC die Sicherheits-Proxys, die zu einer wichtigen Komponente des ersten Firewall-Produkts auf der Anwendungsebene wurden – dem proxy-basierten Produkt Secure External Access Link (SEAL) von 1991. Dies war eine Erweiterung der Arbeit von Reid, Vixie und Mogul bei DEC und war die erste kommerziell veröffentlichte Firewall.
Gil Shwed und Nir Zuk
Von 1993 bis 1994 spielten Gil Shwed, der Gründer von Check Point, und Nir Zuk, ein produktiver Entwickler, eine wichtige Rolle bei der Entwicklung des ersten weit verbreiteten, benutzerfreundlichen Firewall-Produkts – Firewall-1. Gil Shwed erfand und meldete 1993 das US-Patent für Stateful-Inspection an. Es folgte die Arbeit von Nir Zuk an einer benutzerfreundlichen grafischen Oberfläche für die Firewall-1 von 1994, die für die weitere Verbreitung von Firewalls in Unternehmen und Privathaushalten von entscheidender Bedeutung war.
Diese Entwicklungen trugen wesentlich zur Entstehung der Firewall bei, die wir heute kennen. Jede dieser Lösungen wird in irgendeiner Form in vielen Cybersicherheitslösungen verwendet.
Was ist also der Zweck einer Firewall und warum sind sie wichtig? Ungeschützte Netzwerke sind anfällig für jeglichen Datenverkehr, der auf Ihre Systeme zuzugreifen versucht. Ob schädlich oder nicht, der Netzwerkverkehr sollte immer überprüft werden.
Die Verbindung von Personalcomputern mit anderen IT-Systemen oder dem Internet eröffnet eine Reihe von Vorteilen, darunter die einfache Zusammenarbeit mit anderen, die Kombination von Ressourcen und eine gesteigerte Kreativität. Dies kann jedoch auf Kosten des vollständigen Netzwerk- und Geräteschutzes gehen. Hacking, Identitätsdiebstahl, Malware und Onlinebetrug sind weitverbreitete Bedrohungen für Benutzer, die durch das Verbinden ihrer Computer mit einem Netzwerk oder dem Internet eine Angriffsfläche bieten.
Sobald ein bösartiger Akteur Ihr Netzwerk und Ihre Geräte entdeckt hat, können sie leicht gefunden werden, schnell zugänglich sein und wiederholten Bedrohungen ausgesetzt werden. Internetverbindungen, die rund um die Uhr bestehen, erhöhen dieses Risiko (da jederzeit auf Ihr Netzwerk zugegriffen werden kann).
ProaktiverSchutz ist bei jedem Gebrauch eines Netzwerks wichtig. Benutzer können ihr Netzwerk durch den Gebrauch einer Firewall vor den schlimmsten Gefahren schützen.
Was macht eine Firewall und wovor kann eine Firewall schützen? Das Konzept einer Netzwerksicherheits-Firewall ist darauf ausgerichtet, die Angriffsfläche eines Netzwerks auf einen einzigen Kontaktpunkt zu beschränken. Anstatt dass jeder Host in einem Netzwerk direkt mit dem Internet verbunden ist, muss der gesamte Datenverkehr zuerst die Firewall kontaktieren. Da dies auch in umgekehrter Richtung funktioniert, kann die Firewall nicht erlaubten Datenverkehr filtern und blockieren, egal ob er ein- oder ausgeht. Außerdem werden Firewalls verwendet, um einen Prüfpfad für versuchte Netzwerkverbindungen zu erstellen und so das Sicherheitsbewusstsein zu erhöhen.
Da es sich bei der Verkehrsfilterung um einen Regelsatz handeln kann, der von den Eigentümern eines privaten Netzwerks festgelegt wird, ergeben sich hierdurch benutzerdefinierte Anwendungsfälle für Firewalls. Beliebte Anwendungsfälle sind die Verwaltung der folgenden Punkte:
In folgenden Punkten sind Firewalls jedoch weniger effektiv:
In der Praxis haben die realen Anwendungen von Firewalls sowohl Lob als auch Kontroversen hervorgerufen. Obwohl die Errungenschaften der Firewalls eine lange Geschichte haben, muss diese Sicherheitsart korrekt implementiert werden, um Angriffe zu vermeiden. Außerdem ist bekannt, dass Firewalls auf eine ethisch fragwürdige Weise verwendet werden.
Seit etwa 2000 verfügt China über interne Firewalls, um sein sorgfältig überwachtes Intranet aufzubauen. Firewalls ermöglichen naturgemäß die Schaffung einer maßgeschneiderten Version des globalen Internets innerhalb einer Nation. Sie erreichen dies, indem sie den Gebrauch oder den Zugriff auf ausgewählte Dienste und Informationen innerhalb dieses nationalen Intranets verhindern.
Nationale Überwachung und Zensur ermöglichen die fortlaufende Unterdrückung der freien Meinungsäußerung, während gleichzeitig das Image der Regierung aufrechterhalten wird. Außerdem erlaubt die chinesische Firewall der Regierung, Internetdienste auf lokale Unternehmen zu beschränken. Dadurch wird die Kontrolle über Dinge wie Suchmaschinen und E-Mail-Dienste viel einfacher zu Gunsten der Ziele der Regierung zu regulieren.
In China gibt es einen anhaltenden internen Protest gegen diese Zensur. Der Gebrauch von virtuellen privaten Netzwerken und Proxys, um die nationale Firewall zu umgehen, hat es vielen ermöglicht, ihre Unzufriedenheit zu äußern.
Im Jahr 2020 war eine falsch konfigurierte Firewall nur eine von vielen Sicherheitslücken, die zum Einbruch bei einer anonymen US-Bundesbehörde führten.
Es wird vermutet, dass ein nationalstaatlicher Akteur eine Reihe von Schwachstellen in der Cybersicherheit der US-Behörde angegriffen hat. Zu den vielen genannten Sicherheitsproblemen gehörte, dass die verwendete Firewall viele ausgehende Ports hatte, die unzulässigerweise für den Datenverkehr geöffnet waren. Das Netzwerk der Agentur wurde nicht nur schlecht gewartet, sondern hatte wahrscheinlich auch neue Probleme mit der Remote-Arbeit. Sobald der Angreifer im Netzwerk war, verhielt er sich auf eine Weise, die eindeutig darauf hindeutet, dass er die Absicht hatte, über andere offene Wege zu anderen Behörden zu gelangen. Diese Art von Bemühungen bringt nicht nur die infiltrierte Behörde in eine Sicherheitslücke, sondern auch viele andere.
Im Jahr 2019 wurde ein US-amerikanischer Stromnetzbetreiber von einer Denial-of-Service (DoS)-Schwachstelle betroffen, die Hacker angegriffen haben. Die Firewalls des Perimeter-Netzwerks steckten etwa zehn Stunden lang in einer Schleife für einen Neustart-Angriff fest.
Später stellte sich heraus, dass sie auf eine bekannte, aber ungesicherte Firmware-Schwachstelle in den Firewalls zurückzuführen war. Ein Standardverfahren zur Überprüfung von Aktualisierungen vor der Implementierung war noch nicht eingeführt worden, was zu Verzögerungen bei den Aktualisierungen und einem unvermeidlichen Sicherheitsproblem führte. Glücklicherweise führte die Sicherheitslücke nicht zu einem nennenswerten Eindringen in das Netzwerk.
Diese Ereignisse unterstreichen die Bedeutung regelmäßiger Software-Updates. Ohne sie sind Firewalls nur ein weiteres Netzwerksicherheitssystem, das angegriffen werden kann.
Die ordnungsgemäße Einrichtung und Wartung Ihrer Firewall ist entscheidend für den Schutz Ihres Netzwerks und Ihrer Geräte. Hier finden Sie einige Tipps für die Sicherheit Ihres Firewall-Netzwerks:
Kaspersky Endpoint Security erhielt 2021 drei AV-TEST-Auszeichnungen für die beste Leistung, den besten Schutz und die beste Benutzerfreundlichkeit für ein Endpoint Security-Produkt für Unternehmen. In allen Tests zeigte Kaspersky Endpoint Security hervorragende Leistung, Schutz und Benutzerfreundlichkeit für Unternehmen.
Verwandte Links: