Fachbericht IT Security
Firewall-Konzept

Firewall-Konzept muss in ein IT-Gesamtsicherheitskonzept eingebunden sein

Die komplexen Architekturen moderner Informationssysteme bieten eine Vielzahl von Angriffspunkten: Informationen durchlaufen die unterschiedlichsten Stationen auf dem Weg von der Quell- zur Zieladresse, darunter mobile Arbeitsstationen, Außenbüros, Netzknoten und Subnetze. Geschützt werden muss ein Netzwerk sowohl vor passiven Angriffen, wie z.B. dem Abhören von Daten mit Hilfe von speziellen Programmen (Sniffer), als auch aktiven Angriffen, wie z.B. der Manipulation bzw. Modifikation von Daten, einem Denial-Of-Service-Angriff oder Spoofing.

Auswahlkriterien für Firewalls
Wovor schützt eine Firewall und wovor nicht?
Möglichkeiten und Grenzen von Firewalls
Topologie von Netzen mit Firewall
Wie sieht es bei der Firewall mit der Hochverfügbarkeit aus?
Zusammenfassung

Auswahlkriterien für Firewalls

Vor der Anschaffung einer Firewall sollte ein Unternehmen im Rahmen einer Risikoanalyse zunächst klären, ob sich die Investition überhaupt lohnt und wenn ja, in welchem Ausmaß. Risikoanalyse bedeutet, man stellt den Risiken für ein Unternehmen, welche sich aus dem Verzicht auf eine Firewall ergeben, beziehungsweise dem Nutzen aus dem System die Kosten gegenüber.

Bei der Einschätzung des Angriffsrisikos spielen drei Faktoren eine wesentliche Rolle: Der Wert bzw. die Verwertbarkeit der Daten, die lokalen Gegebenheiten und die Höhe des technischen und materiellen Aufwands für den Angreifer.
? Existieren Konkurrenten oder andere Stellen, die Interesse an den unternehmensspezifischen Daten haben (Forschungs- oder Entwicklungsergebnisse, geplante Marketingmaßnahmen, Umsatzzahlen etc.) oder deren Weitergabe an Dritte (Konkurrenten, Geschäftspartner, Presse etc.), die Interesse daran haben, die Unternehmensabläufe zu behindern (IT-Ausfall, Verzögerung von Lieferterminen oder Bestellungen, falsche Liefermengen etc.), um ein Unternehmen auf diese Weise in der Öffentlichkeit und bei Geschäftspartnern in Misskredit zu bringen (Vertrauensverlust etc.) sowie einen wirtschaftlichen Schaden zuzufügen (Umsatzeinbußen durch Produktionsausfall, Nachahmung der Konkurrenz Vertrauensverlust etc.)?
? In Bürogebäuden mit mehreren Firmen verlaufen die Datenleitungen oft durch die Räumlichkeiten anderer Firmen oder sie sind im Hausanschlussraum für jedermann zugänglich. Daher ist es kein Problem, eine geeignete Stelle zu finden, an der die Datenleitung angezapft werden kann. Mögliche Angriffspunkte liegen auf Fluren, in Kabelschächten, in der Tiefgarage und an den Einspeisungspunkten von Versorgungsunternehmen, z.B. den Telefonanschlusskästen. Hinsichtlich interner Angriffe sollte man an die zusätzlichen, bisher nicht genutzten Steckdosen im Unternehmen denken, die eingerichtet wurden, um flexibel für Umzüge zu sein. Oder daran, dass zusätzliche Steckdosen und Rechnersysteme montiert werden können. Natürlich können auch die Stationen befugter Nutzer zum Abhören des gesamten Nachrichtenstroms verwendet werden.

Sicherheitsrisiken: Bei der Einschätzung des Angriffsrisikos spielen drei Faktoren eine wesentliche Rolle: Der Wert bzw. die Verwertbarkeit der Daten, die lokalen Gegebenheiten und die Höhe des technischen und materiellen Aufwands für den Angreifer.

Wovor schützt eine Firewall und wovor nicht?

Eine Firewall (engl. Brandschutzmauer) soll verhindern, dass sich Gefahren aus dem Internet in das eigene Netzwerk ausbreiten. Die Firewall wird demnach an Netzwerkübergangspunkten, wie z.B. dem Internet-Gateway, Servern oder Desktop-Systemen installiert. Im typischen Fall steht die Firewall am Übergang zwischen Firmennetz und Internet. Zum Teil werden jedoch auch in großen Unternehmen Abteilungen auf Netzebene durch eine Firewall getrennt.

Firewall-Strukturen: Sie prüft alle ein- und ausgehenden Datenpakete, vergleicht diese mit der durch die Konfiguration festgelegten Sicherheitspolitik und entscheidet schließlich, ob das Datenpaket durchgelassen oder abgeblockt wird.

Ein Firewall wirkt wie eine Sicherheitsschleuse oder wie die Passkontrolle an einem Grenzübergang. Sie prüft alle ein- und ausgehenden Datenpakete, vergleicht diese mit der durch die Konfiguration festgelegten Sicherheitspolitik und entscheidet schließlich, ob das Datenpaket durchgelassen oder abgeblockt wird. Somit stellt die Firewall eine Barriere für potenzielle Angreifer dar. Ein Angreifer wird nun versuchen, die Firewall z.B. mit einer Flut von Anfragen (Denial Of Service) auszuschalten.

Zwei unterschiedliche Technologien kommen bei modernen Firewalls ? oft zusammen ? zum Einsatz: Applikations-Gateways und Paket-Filter.

Applikations-Gateways:
Ein Application Level Gateway arbeitet auf der Anwendungsschicht. Über ihn findet die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz statt. Für jeden Dienst (WWW, E-Mail, Telnet, FTP etc.) werden Security-Proxies eingerichtet, so genannte Stellvertreter. Das bedeutet, dass die Rechner des LAN nicht direkt auf einen Server des Internets zugreifen, sondern sich dem Proxy gegenüber identifizieren und authentifizieren und ihre Anfrage an ihn schicken. Er wiederum stellt dann mit seiner Absenderadresse die Verbindung zum Server her und leitet die Anfrage weiter. Umgekehrt sendet der externe Server die Daten an den Proxy, der sie dann an die internen Clients weiterleitet. Der Nutzer hat jedoch den Eindruck, er kommuniziere direkt mit dem Zielrechner. Jeder Proxy auf dem Application Level Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten, etwa eine ausführliche Protokollierung. Die meisten Application Level Gateways können nicht unterscheiden, über welche Netzschnittstelle ein Paket hereinkommt, d.h. ob aus dem internen oder dem externen Netz. Ein Appliaction Level Gateway mit zwei Netzschnittstellen wird Dual-homed Gateway genannt. Kein Paket kann ungefiltert passieren.
Zusammengefasst heißt das, der gesamte Datenfluss für einen Dienst zwischen dem Firmennetzwerk und dem Internet kann so auf Applikations- und Benutzerbasis kontrolliert werden. Durch den Einsatz von Network Adress Translation (NAT) wird die interne Netzstruktur verborgen.
Auf diese Art und Weise kann ein hohes Maß an Kontrolle und damit an Sicherheit erreicht werden. Eine Übernahme des Gateways durch einen Angreifer führt zu einem vollständigen Verlust der Sicherheit. Weitere Nachteile dieses Ansatzes liegen unter anderem im Verlust der Transparenz für Benutzer/-innen und Applikationen und im verminderten Datendurchsatz.

Paket-Filter:
Der Packet-Filter arbeitet auf der Netzwerk- bzw. Vermittlungs- und der Transportschicht. Er ist ein Router, d.h. er leitet Datenpakete in ein Netzwerk hinein- bzw. aus einem Netzwerk hinaus, und filtert diese zusätzlich nach erlaubter und unerlaubter Quell- und Zieladresse (IP-, ICMP-Header) sowie nach Quell- und Zielport (TCP-, UDP-Header) filtern. Damit ist einschränkbar, welche Rechner im zu schützenden und welche im unsicheren Netz an der Kommunikation beteiligt sein dürfen sowie welche Kommunikationsdienste erlaubt sind. In Abhängigkeit von den konfigurierten Filterregeln werden die Pakete dann durchgelassen, verworfen oder mit einer Fehlermeldung zurückgewiesen.
Mit einem Paket-Filter kann ein hoher Datendurchsatz erreicht werden, das erreichbare Maß an Sicherheit ist aber beschränkt. Denn wenn der Packet Filter durch einen Angreifer übernommen wird, bedeutet dies den vollständigen Verlust der Sicherheit. Nachteilig ist ebenfalls, dass eine Protokollierung nur auf den unteren Netzschichten möglich ist. Bei der Nutzung von dynamischen IP-Adressen kann der Packet Filter nicht angewandt werden.

OSI-Schichtenmodell: Der Packet-Filter arbeitet auf der Netzwerk- bzw. Vermittlungs- und der Transportschicht.

Die Kombination von Packet-Filter und Application Level Gateway wird als Screened Gateway, Transparent Gateway oder Sandwich-System bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden Einzelkomponenten. Die Anordnung der beteiligten Komponenten kann variieren und erlaubt die individuelle Realisierung eines Firewall-Konzepts. Die Kombination von Packet-Filter und Application Level Gateway auf einem Rechner kann die getrennte Anordnung nicht ersetzen. Es besteht die Gefahr, dass Sicherheitsmechanismen, die nur auf einen Rechner konzentriert sind, durch Schwachstellen umgangen werden können. Die Vorteile des Screened Gateways liegen darin, dass kein direkter Zugang zum Gateway möglich ist und sich durch den Einsatz von mehreren Gateways die Verfügbarkeit deutlich steigern lässt.

Stateful Inspection (Stateful Packet Filter, Dynamic Packet Filter):
Stateful Inspection (auch Stateful Packet Filter oder Dynamic Packet Filter genannt) ist eine recht neue Firewall-Technologie und arbeitet sowohl auf der Netz- als auch auf der Anwendungsschicht. Die IP-Pakete werden auf der Netzschicht entgegengenommen, von einem Analysemodul, das dynamisch im Betriebssystemkern geladen ist, zustandsabhängig inspiziert und gegenüber einer Zustandstabelle abgeglichen. Die Regeln, nach denen das Modul agiert, können sehr differenziert vorgegeben werden. Für die Kommunikationspartner stellt sich eine Firewall mit Stateful Inspection als eine direkte Leitung dar, die nur für eine den Regeln entsprechende Kommunikation durchlässig ist. Im Out-Of-Band-Betrieb erfolgt die Wartung und Konfiguration nicht über TCP/IP. Die Firewall besitzt dann keine eigene IP-Adresse, so dass keine Möglichkeit besteht, sie über TCP/IP direkt aus den angeschlossenen Netzen anzusprechen oder auf diesem Wege anzugreifen. Optional führt die Firewall ein Rewriting durch, d. h. Pakete werden vor dem Weitersenden nach vorgegebenen Regeln transformiert. Nachteilig ist, dass keine Zwischenspeicherungen und einhergehend keine volle Gateway-Funktionalität sowie kein Caching möglich sind.
Stateful Inspection vereinigt bereits konzeptuell die Schutzmöglichkeiten von Packet Filter und Application Level Gateway, so dass diese beiden Funktionen nicht in getrennten Komponenten realisiert werden müssen. Experten streiten sich darüber, welches Konzept in welcher Realisierung mehr Sicherheit mit sich bringt. Inzwischen werden auch hybride Firewalls angeboten, die zusätzlich zur Stateful Inspection Proxys wie beim Application Gateway zur Verfügung stellen.

Möglichkeiten und Grenzen von Firewalls

Eine Firewall bietet keine 100%ige Sicherheit. Selbst leistungsfähige Firewalls können nur Netzwerkaktivitäten zwischen der Sicherungsschicht (Schicht zwei des OSI-Schichtenmodells) und der Anwendungsschicht (Schicht sieben des OSI-Schichtenmodells) überwachen. Daten, die innerhalb von Applikationen transportiert werden (z.B. WWW, Java, Viren etc.), können nicht blockiert werden. Manche preisgünstigeren Firewalls können sogar die Schichten zwei und drei nicht überwachen und sind somit für Angreifer kein ernsthaftes Hindernis. Ferner lassen sich Angreifer immer neue Kniffe einfallen, um die Firewall-Funktionen zu überwinden.

Gegen physische Angriffe, d.h. gegen das Anzapfen von Datenleitungen, ist eine Firewall machtlos.

Lokal gegebene Angriffsmöglichkeit: Gegen physische Angriffe, d.h. gegen das Anzapfen von Datenleitungen, ist eine Firewall machtlos.

Auch auf interne Angriffe hat eine Firewall nur sehr geringen Einfluss und gegen Trittbrettfahrer oder das Abhören der zu übertragenden Daten kann man sich nur mittels Verschlüsselung schützen.
Unter diesen Umständen ist es sinnvoll, zusätzlich personelle, organisatorische und infrastrukturelle Sicherheitsmaßnahmen zu treffen.

Personelle Maßnahmen:

  • geeignetes Profil und Schulung des Security-Administrators
  • Auswahl eines vertrauenswürdigen Administrators und Vertreters
  • Festlegung von Vertretungsregelungen
  • Festlegung einer geregelten Verfahrensweise beim Ausscheiden von Benutzern
  • Anweisung an die Benutzer bzgl. der Nutzung von Internet-Diensten (z.B. Foren, Downloads)
  • Aufklärung der Benutzer über die Protokollierung von Firewall-Daten
  • Sensibilisierung der Benutzer für mögliche Gefahren bei der Nutzung des Internet und Motivation zum Verbleib vertraulicher Informationen im geschützten Netz
  • Schulung der Benutzer zum Thema Sicherheit

Organisatorische Maßnahmen:

  • alle externen Zugänge müssen über die Firewall laufen
  • alle weiteren Komponenten, die der Kommunikation zwischen zu schützendem und unsicherem Netz dienen (z.B. Server), müssen sicher im Bereich der Firewall angeordnet werden
  • Festlegung der Fach- und Betriebsverantwortung für die Firewall
  • Festlegung der Zugriffsrechte von Benutzern für das Security-Management
  • Kontrolle der Protokolldaten
  • Informationsbeschaffung über Sicherheitslücken der Firewall und Einleitung entsprechender Gegenmaßnahmen
  • Festlegung von Reaktionen auf Verletzungen der Sicherheitspolitik (z.B. Notfallkonzept, Eskalationsmaßnahmen)
  • Verpflichtung des Security-Administrators zur Datensicherung
  • keine Weitergabe von Security-Token und Passworten
  • Betreuung und Beratung der Benutzer, die über die Firewall kommunizieren
  • Regelungen für Wartungs- und Reparaturarbeiten an der Firewall
  • rechtzeitige Beteiligung des Personal- / Betriebsrates
  • Verbot, unverlangt per E-Mail zugesandte Attachements und nicht standardmäßig installierte Programme auszuführen, und Pflicht zur Signatur von E-Mails
  • Klärung, ob Verschlüsselung zulässig sein soll, da Filter- und Protokollierungsmöglichkeiten eingeschränkt sind
  • keine URL-Filterung, da zu leicht zu umgehen
  • Regeln zum qualifizierten Gebrauch von Passwörtern sind aufzustellen

Infrastrukturelle Maßnahmen:

  • Verwahrung sämtlicher Komponenten der Firewall in einem zugangsgesicherten Raum
  • Installation einer unterbrechungsfreien Stromversorgung
  • Installation geschützter Leitungsführung
  • Dokumentation und eindeutige Kennzeichnung aller Leitungen
  • Kopplung der Firewall an das Netzwerkmanagementsystem

Trotz alledem bietet eine Firewall Sicherheit, Vertrauen und Kostensenkung, denn wichtige Angriffe können abgewendet werden und die Realisation der Sicherheitsmechanismen in einer zentralen Firewall ist wirtschaftlicher als auf jedem einzelnen Rechner.
Das Unternehmen sollte ein IT-Sicherheitskonzept definiert haben, um die Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit und Verfügbarkeit aller Daten zu gewährleisten:

  • Vertraulichkeit: Personenbezogene Daten dürfen nur von autorisierten Personen gelesen werden.
  • Integrität: Die Daten müssen unversehrt bleiben, also vor Manipulation geschützt werden.
  • Authentizität: Der Absender bzw. die Herkunft persönlicher Daten muss nachvollziehbar sein.
  • Verbindlichkeit: Das Absenden bzw. Empfangen von personenbezogenen Daten muss nachweisbar sein.
  • Verfügbarkeit: Auf Daten muss jederzeit zugegriffen werden können.

Dieses IT-Sicherheitskonzept bildet den übergeordneten Rahmen für ein Firewall-Sicherheitskonzept bzw. eine Firewall-Sicherheitspolitik. Ein Unternehmen sollte der Realisation einer Firewall unbedingt ein Sicherheitskonzept voranstellen, denn darin legt es die an das System gestellten Anforderungen fest, d.h. die Grenzen akzeptablen Verhaltens sowie die Reaktion auf Übertretungen, und kann konkrete Maßnahmen zur Ausgestaltung der Funktionalität der Firewall ableiten, um diesen Anforderungen zu genügen.

Generell sollte das Unternehmen für ein Firewall-Sicherheitskonzept folgende Grundsätze berücksichtigen:

  1. Alles, was nicht explizit erlaubt ist, ist verboten!
  2. Alles, was nicht explizit verboten ist, ist erlaubt!

Filterregeln: Die erste Filterregel garantiert ein höheres Sicherheitsniveau, da wirklich nur gewollte Aktionen möglich sind.

Topologie von Netzen mit Firewall

1. Zentrale Firewall (Choke Point)

Rein zentrale Firewall-Lösungen sind durch folgende Aspekte charakterisiert:

  • Die zentrale Firewall bildet die einzige Schnittstelle (Choke Point) zwischen dem kompletten zu schützenden Verwaltungsnetz und dem übrigen Internet.
  • Innerhalb des gesamten Verwaltungsnetzes besteht ein einheitliches Sicherheitsniveau; eine weitere Differenzierung nach Sicherheitsstufen erfolgt nicht.
  • Eine Kontrolle der internen Verbindungen durch die Firewall ist nicht möglich.
  • Die zentrale Firewall setzt eine definierte Sicherheitspolitik für das gesamte Verwaltungsnetz voraus. Abweichende Sicherheitspolitiken für besonders schützenswerte Bereiche sind auf Netzebene nicht durchsetzbar.
  • Es besteht die Notwendigkeit einer zentralen Benutzerverwaltung. Für jeden Teilnehmer muss sowohl auf Dienstebene als auch bezogen auf die zugelassenen Adressen die zulässige Kommunikation festgelegt werden.

Da eine zentrale Firewall eine Differenzierung nach Teilnetzen nicht unterstützt und dementsprechend ein einheitliches Sicherheitsniveau für das gesamte Verwaltungsnetz voraussetzt, muss sich der Grad des gewährleisteten Schutzes nach den sensibelsten Daten richten und ist dementsprechend hoch. Dies hat jedoch für Verwaltungsbereiche mit weniger sensiblen Daten den Nachteil, unnötig hohe Schranken zu errichten. Daraus ergibt sich die Gefahr, dass gerade von diesen Stellen zusätzliche Internet-Zugänge mit geringeren Restriktionen geschaffen werden, wodurch der gesamte Zweck der Firewall ad absurdum geführt wird.

Zentrale Firewall-Anordnung: Die zentrale Firewall setzt eine definierte Sicherheitspolitik für das gesamte Verwaltungsnetz voraus.

Ein weiterer Nachteil zentraler Firewalls besteht in dem ? auch aus dem Großrechnerbereich bekannten ? Problem, dass eine Benutzerverwaltung, die fernab von dem jeweiligen Fachbereich erfolgt, häufig zu Abweichungen zwischen der Realität von Benutzerrechten und deren Abbildung in Form von Accounts führt.
Da eine Firewall Zugriffe innerhalb des internen Netzes nicht kontrolliert, besteht bei rein zentralen Lösungen die Gefahr, dass das gesamte Verwaltungsnetz als eine Einheit betrachtet wird und insofern nur die Zugriffe von oder nach außen restringiert werden. Dieser Aspekt ist zwar nur mittelbar Teil des Themas "Internet-Anbindung", muss bei einer Gesamtbetrachtung von Netzsicherheit jedoch unbedingt einbezogen werden.
Der Einsatz einer alleinigen zentralen Firewall ist allenfalls dann vertretbar, wenn alle angeschlossenen Teilnetze über ein gleiches Sicherheitsbedürfnis bzw. -niveau verfügen und zudem nicht die Gefahr des internen Missbrauchs besteht. Davon kann in behördenübergreifenden Verwaltungsnetzen mit einer Vielzahl angeschlossener Rechner jedoch nicht ausgegangen werden.

2. Gestaffelte Firewalls (Kaskadierte Firewall)
Gestaffelte Firewall-Lösungen sind durch folgende Aspekte charakterisiert:

  • Es handelt sich um eine Kombination zentraler und dezentraler Komponenten, wobei durch eine zentrale Firewall ein Mindestschutz für das Gesamtnetz gegenüber dem Internet realisiert wird und dezentrale Firewalls in Subnetzen mit besonderem Schutzbedarf ein angemessenes Schutzniveau sicherstellen.
  • Innerhalb des jeweiligen geschützten Subnetzes besteht jeweils ein einheitliches Sicherheitsniveau.
  • Eine Kontrolle der verwaltungsinternen Verbindungen ist möglich, sofern die Kommunikation den durch dezentrale Firewalls geschützten Bereich überschreitet.
  • Auch ein gestaffeltes Firewall-System setzt eine definierte Sicherheitspolitik für das Gesamtnetz voraus. Bei ihrer Definition müssen insbesondere die Anforderungen an einen zu garantierenden Grundschutz einfließen. Darüber hinaus sind für die Subnetze gesonderte Sicherheitsanforderungen zu definieren.
  • Die Benutzerverwaltung kann weitgehend dezentralisiert werden. Allerdings sind einheitliche Regeln festzulegen, nach denen Benutzer das Recht haben, über die zentrale Firewall mit Systemen im Internet in Verbindung zu treten.
  • Auch die dezentralen Firewalls müssen qualifiziert administriert werden.

Gestaffelte Firewall-Anordnung: Auch ein gestaffeltes Firewall-System setzt eine definierte Sicherheitspolitik für das Gesamtnetz voraus.

Für die dezentralen Firewalls bieten sich prinzipiell die gleichen Technologien wie bei einer zentralen Firewall an. Die Kombination zentraler und dezentraler Schutzmechanismen erlaubt die Realisierung des Prinzips eines autonomen Schutzes; bei sorgfältiger Konfiguration bleiben besonders geschützte Subnetze auch dann gesichert, wenn die zentrale Firewall durch einen Eindringling überwunden wurde.
Mit gestaffelten Firewalls kann ? anders als bei zentralen Lösungen ? das datenschutzrechtlich bedeutsame Prinzip der informationellen Gewaltenteilung abgebildet werden, mit dem es nicht zu vereinbaren wäre, wenn die Verwaltung als informatorisches Ganzes betrachtet würde. Die Teilnetze können sowohl gegen Angriffe von außen ? aus dem Internet ? als auch untereinander abgeschottet werden.
Da gestaffelte Lösungen besser als ausschließlich zentrale Firewalls die Anforderungen der Benutzer abbilden können, ist auch die Gefahr der Umgehung der kontrollierten Schnittstellen durch Schaffung "wilder" Internet-Zugänge geringer. Zudem würden sich die Folgen derartiger Verstöße gegen die festgelegte Sicherheitspolitik besser isolieren lassen.
Auch gestaffelte Firewalls sind mit einem insgesamt hohen Administrations- und Pflegeaufwand verbunden, der jedoch auf die zentrale Firewall und die dezentralen Firewalls verteilt ist. Die Festlegung der individuellen Benutzerrechte kann dabei im Wesentlichen den anwendernäheren dezentralen Firewalls zugeordnet werden.

3. Entmilitarisierte Zone
Server, die Dienste für Internet-Nutzer zur Verfügung stellen (z. B. WWW oder Mail), werden häufig hinter einer Firewall in der so genannten entmilitarisierten Zone (DMZ, Demilitarized Zone, auch Screened Subnet) eingerichtet, von der das interne Netz durch eine (weitere) Firewall abgeschottet ist. Dies hat den Vorteil, dass das lokale Netz auch dann noch geschützt ist, wenn ein Angreifer bis zum WWW-Server gelangt.
Die entmilitarisierte Zone kann beispielsweise zwischen zwei Firewalls realisiert werden. Durch Verwendung unterschiedlicher Firewall-Produkte lässt sich dabei eine höhere Sicherheit erreichen, da mögliche Fehlfunktionen bei unabhängiger Entwicklung der Produkte wahrscheinlich nicht gleichzeitig auftreten.

Kaskadierte Firewall-Anordnung mit DMZ: Die entmilitarisierte Zone kann beispielsweise zwischen zwei Firewalls realisiert werden.

Die Aufgaben der beiden Firewalls können auch von nur einer Firewall mit mehreren Schnittstellen übernommen werden, mit denen sich mehrere Netze mit unterschiedlicher Sicherheit bilden lassen. So können auch eine oder mehrere entmilitarisierte Zonen eingerichtet werden. Diese Lösung ist kostengünstiger, verzichtet aber auf die erhöhte Sicherheit.

4. Screened Gateway (Sandwich System)
Zumeist werden neben der Firewall Router eingesetzt, die oft die Funktion von Packet-Filtern übernehmen können. Damit lässt sich eine "Sandwich-Lösung" realisieren, die durch Verwendung unterschiedlicher Systeme eine erhöhte Sicherheit gewährleisten kann. Auch hier ist die Einrichtung einer entmilitarisierten Zone möglich.

Screened Gateway (Sandwich-System): Neben der Firewall werden Router eingesetzt, die oft die Funktion von Packet-Filtern übernehmen können.

Die Anordnung von Mail-, WWW- und DNS-Servern bei Sandwich-Systemen mit entmilitarisierten Zonen wird in der folgenden Abbildung beispielhaft veranschaulicht:

Screened Gateway (Sandwich-System) mit DMZ: Anordnung von Mail-, WWW- und DNS-Servern

Wie sieht es bei der Firewall mit der Hochverfügbarkeit aus?

Wenn man sein Netz vollständig, vielleicht sogar zwischen den Abteilungen, mit Firewalls abschottet, kann der Ausfall der Firewall das gesamte Arbeitsleben im Unternehmen zum Stillstand bringen. Als Folge muss man in einer Umgebung, wo solche Ausfälle einen hohen materiellen Schaden verursachen können, Gegenmaßnahmen treffen.

Ausfallsicherheit über dynamisches Routing: Eine solche Lösung ist sehr aufwändig im Betrieb.

1. Dynamisches Routing
Ein Ansatz könnte es sein, mehrere Firewalls zwischen zwei Routern zu positionieren. Über dynamische Routing-Protokolle können die Router bei Ausfall einer Firewall den Datenverkehr über eine der anderen Firewalls leiten. Dies bedeutet einen hohen Aufwand, da man dann auch die Router doppelt auslegen muss. Außerdem ist eine solche Lösung sehr aufwändig im Betrieb.

2. Hot/Cold-Stand-by
Andere Methoden basieren darauf, eine zweite Firewall im Stand-by-Betrieb bereitzustellen. Fällt die primäre Firewall aus, so übernimmt die zweite. Hierbei unterscheidet man zwischen Hot-Stand-by und Cold-Stand-by. Bei Hot-Stand-by läuft die zweite Firewall bereits und kann jederzeit den Betrieb übernehmen. Bei Cold-Stand-by ist eine zweite Firewall zwar bereits vorhanden, aber nicht betriebsfähig. Bei einem Ausfall der primären Firewall muss die zweite Firewall erst hochgefahren und gegebenenfalls umkonfiguriert werden.

Bild: Ausfallsicherheit über einen Cluster: Alle Firewalls im Cluster haben eine gemeinsame Netzwerkadresse.

3. Clustering
Der Cluster-Begriff bedeutet dabei, dass die Firewalls nach außen wie eine einzelne Firewall erscheinen.

Aus Sicht eines Firmennetzes und des Routers handelt es sich bei dem gesamten Cluster nur um ein einzelnes Gerät. Alle Firewalls im Cluster haben eine gemeinsame Netzwerkadresse. Bei dieser kann es sich je nach verwendeten Verfahren um eine IP- oder Ethernet-Adresse handeln. Die Cluster-Software legt fest, welche Firewall für welches Datenpaket zuständig ist. Dazu sind auch die Firewalls in einem Cluster über eine Heartbeat-Schnittstelle miteinander verbunden. Da die Cluster-Software die Verteilung steuert, kann sie diese an die aktuellen Lastverhältnisse anpassen und bei Bedarf ändern.
Voraussetzung für das Clustering ist die oben genannte gemeinsame Netzadresse. Bei dieser kann es sich z.B. um eine Multicast-IP- oder eine Multicast-MAC-Adresse handeln. Das Verfahren hängt davon ab, welche Router, Switches und Hubs verwendet werden.
Die Cluster-Software agiert wie ein Filter vor der Firewall. Sie entscheidet, ob ein bestimmtes Paket die Firewall erreicht. Über die verwendeten Algorithmen stellt die Cluster-Software sicher, dass die Antwortpakete zu einer TCP-Verbindung auf dem Rückweg durch die gleiche Firewall laufen.
Die Entscheidung des Filters basiert auf den IP-Adressen, der Port-Informationen (TCP oder UDP) und der Last des Systems. Fällt dann z.B. die obere Firewall aus, so wird der Filter der unteren Firewall vollständig transparent. Da beide Firewalls ihre Statustabellen austauschen, bleibt auch in diesem Fall eine existierende Verbindung erhalten.
Der große Vorteil einer Cluster-Lösung ist es, dass sich die Performance aller verwendeten Komponenten nahezu addiert. Der Verlust durch den zusätzlichen Filter ist gegenüber der Gesamtleistung des Systems fast zu vernachlässigen. Da zwei kleine Systeme häufig erheblich preiswerter sind als ein doppelt so leistungsfähiges System, kann ein Cluster bei sehr hohen Leistungsanforderungen günstiger sein als ein einzelnes System.

Absolut sichere Firewall
Beachten muss ein Unternehmen jedoch auch an dieser Stelle:
Jede Kette ist nur so stark wie ihr schwächstes Glied. Das gilt für die Hochverfügbarkeit genauso wie für die Sicherheit. Denken Sie daran, nicht beide Firewalls im gleichen Raum oder Gebäude aufzubauen, sonst kann ein Brand oder der Ausfall einer unterbrechungsfreien Stromversorgung alle Pläne über den Haufen werfen. Der schlimmste Feind der Hochverfügbarkeit sitzt aber vor der Konsole. Konfigurationsfehler und Leichtsinn schlagen alle anderen Fehlerursachen mit Leichtigkeit aus dem Feld.

Zusammenfassung

Ziele der Firewall sind die folgenden:

  • Zugangskontrolle auf der Netzwerkebene: Es wird überprüft, welche Rechnersysteme über die Firewall miteinander kommunizieren dürfen.
  • Zugangskontrolle auf Benutzerebene: Die Echtheit (Authentizität) des Benutzers wird geprüft und damit, ob er berechtigt ist, eine Verbindung über die Firewall aufzubauen.
  • Rechteverwaltung: Hier wird festgelegt, mit welchen Protokollen und Diensten (z.B. E-Mail, FTP) und zu welchen Zeiten über die Firewall kommuniziert werden darf.
  • Kontrolle auf der Anwendungsebene: Sie überprüft, ob Kommandos genutzt oder Dateiinhalte übertragen werden, die nicht zur durch die Applikation definierten Aufgabenstellung gehören.
  • Entkopplung von Diensten: Die Ausnutzung von Implementierungsfehlern, Schwachstellen und Konzeptionsfehlern der Dienste durch Angreifer wird verhindert.
  • Beweissicherung und Protokollauswertung: Die Sicherheit betreffende wichtige Ereignisse und Verbindungsdaten werden protokolliert und können für die Beweissicherung von Handlungen der Benutzer und für die Erkennung von Sicherheitsverletzungen ausgewertet werden.
  • Alarmierungsfunktion: Die Sicherheit betreffende wichtige Ereignisse werden an das für die Sicherheit zuständige Management geschickt, damit man bei Sicherheitsverletzungen schnell reagieren kann.
  • Verbergen der internen Netzstruktur: Der potenzielle Angreifer kann nicht erkennen, ob im zu schützenden Netzwerk 10 oder 10.000 Rechner vorhanden sind.
  • Vertraulichkeit der Nachrichten: E-Mails können nicht im Klartext gelesen werden, sondern können verschlüsselt werden.
  • Resistenz gegen Angriffe: Die Firewall soll sich nicht selbst aushebeln lassen können.
  • Accounting: Die IP- und benutzerorientierte Buchhaltung wird geregelt.
  • Network Address Translation (NAT): Datenpakete werden automatisch um- und weitergeleitet. (ap)