Entwurf von Perimeterfirewalls

Aktualisiert: 10. Mrz 2004

Download des Leitfadens

Entwurf von Perimeterfirewalls

Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
BetrifftBetrifft
Der Nutzen dieses ModulsDer Nutzen dieses Moduls
EntwurfsrichtlinienEntwurfsrichtlinien
Systemattacken und AbwehrSystemattacken und Abwehr
GerätedefinitionGerätedefinition
FirewallfeaturesFirewallfeatures
FirewallklassenFirewallklassen
Klasse 1 - Persönliche FirewallKlasse 1 - Persönliche Firewall
Klasse 2 - RouterfirewallKlasse 2 - Routerfirewall
Klasse 3 - Preisgünstige HardwarefirewallKlasse 3 - Preisgünstige Hardwarefirewall
Klasse 4 - High-End-HardwarefirewallKlasse 4 - High-End-Hardwarefirewall
Klasse 5 - High-End-ServerfirewallKlasse 5 - High-End-Serverfirewall
Verwendung von PerimeterfirewallsVerwendung von Perimeterfirewalls
Regeln für PerimeterfirewallsRegeln für Perimeterfirewalls
HardwareanforderungenHardwareanforderungen
FirewallverfügbarkeitFirewallverfügbarkeit
SicherheitSicherheit
SkalierbarkeitSkalierbarkeit
LeistungLeistung
KonsolidierungKonsolidierung
Standards und RichtlinienStandards und Richtlinien
ZusammenfassungZusammenfassung
QuellenQuellen

Modulübersicht

Dieses Modul hilft Ihnen bei der Auswahl eines geeigneten Firewallprodukts für das Perimeternetzwerk Ihres Unternehmens, Ihrer Organisation. Darin werden die unterschiedlichen Klassen verfügbarer Firewalls vorgestellt und die wichtigsten Funktionen erläutert. Darüber hinaus erfahren Sie, wie Sie Ihre eigenen Anforderungen bestimmen und das am besten geeignete Produkt auswählen.

Zum SeitenanfangZum Seitenanfang

Zielsetzung

Identifizieren der erforderlichen Funktionen für Ihre Perimeterfirewall

Klassifizieren von Firewallprodukten

Auswählen des geeignetsten Firewallprodukts für Ihre Perimeterfirewall

Zum SeitenanfangZum Seitenanfang

Betrifft

Die Informationen in diesem Modul gelten für folgende Technologien:

Ethernet/IP-basierte Firewallprodukte

Zum SeitenanfangZum Seitenanfang

Der Nutzen dieses Moduls

Die Lektüre dieses Moduls setzt Kenntnisse über das TCP/IP-Protokoll, in Ihrer eigenen Netzwerkarchitektur und besonders in den Geräten im Perimeternetzwerk beziehungsweise der demilitarisierten Zone voraus. Zudem sollten Sie feststellen, welcher eingehende Verkehr vom Internet als zulässig betrachtet werden kann und welcher nicht.

Die in diesem Modul vorgestellten Entwurfsrichtlinien helfen Ihnen, unter Berücksichtigung wichtiger Aspekte wie Wachstum und Kosten, bei der Auswahl der Funktionen der Firewall. In diesem Modul finden Sie auch Informationen zu einigen der gefährlichsten Eindringungsversuche, so dass Sie die in Ihrer Umgebung wahrscheinlichsten Risiken feststellen und entsprechende Schutzmaßnahmen ergreifen können - nicht nur durch die Installation einer Firewall, sondern zum Beispiel auch durch striktere Serverkonfigurationen oder durch Absprache Einschränkungen durch Internetdienstanbieter (ISP). Darüber hinaus werden in diesem Modul verschiedene Firewallklassen definiert. Mithilfe der Entwurfsrichtlinien sollten Sie in der Lage sein, die zur Erfüllung Ihrer Anforderungen geeignetste Firewallklasse auszuwählen. Mit den in diesem Modul vermittelten Kenntnissen und den gelernten technischen Fachbegriffen sollten Sie sich mit Firewallherstellern über die angebotenen Produkte und deren Eignung für Ihren Bedarf unterhalten können.

Zum SeitenanfangZum Seitenanfang

Entwurfsrichtlinien

Netzwerkeindringungsversuche durch interne und externe Benutzer treten immer häufiger auf, und ein geeigneter Schutz gegen diese Attacken ist heutzutage unabdingbar. Eine Firewall bietet zwar Schutz für Ihr Netzwerk, sie kostet aber auch Geld und behindert den Verkehrsfluss. Daher sollten Sie ein Produkt auswählen, das möglichst kosteneffizient und wirksam ist.

Netzwerkarchitektur

Eine Unternehmensnetzwerkarchitektur umfasst in der Regel drei Felder:

Grenznetzwerk
Dieses Netzwerk grenzt direkt ans Internet mittels Router, der einen ersten Schutz in Form einer einfachen Filterung des Datenverkehrs bieten sollte. Der Router leitet die Daten über eine Perimeterfirewall zum Perimeternetzwerk.

Perimeternetzwerk
Dieses oftmals auch als DMZ (demilitarisierte Zone) bezeichnete Netzwerk verbindet die eingehenden Benutzer mit den Webservern und anderen Diensten. Die Webserver stellen daraufhin über eine interne Firewall eine Verbindung zu den internen Netzwerken her.

Interne Netzwerke
Die internen Netzwerke verbinden die internen Server wie zum Beispiel den SQL-Server mit den internen Benutzern.

Eine Darstellung dieser Netzwerke sehen Sie in Abbildung 1.

Unternehmensnetzwerkarchitektur

Abbildung 1.
Unternehmensnetzwerkarchitektur

Entwurfsvorgaben

Eine Firewall überprüft eingehende IP-Pakete und blockiert alle Pakete, die als Eindringungsversuch eingestuft werden. Ein Teil der Blockierung kann durch standardmäßiges Erkennen bestimmter ungültiger Pakete erfolgen, und für andere Pakete muss die Firewall zur Blockierung konfiguriert werden. Das TCP/IP-Protokoll wurde vor vielen Jahren ohne Berücksichtigung der Konzepte des Hackens oder Eindringens entworfen und besitzt daher viele Schwächen. Zum Beispiel wurde das ICMP-Protokoll innerhalb von TCP/IP als Signalisierungsmechanismus entworfen, aber dieses Protokoll kann leicht missbraucht werden und zu Problemen wie DoS-Attacken führen. Eine Perimeterfirewall besitzt unter Umständen beschränktere Funktionen als eine interne Firewall. Dies ist darauf zurückzuführen, dass für eingehenden Verkehr aufgrund seines gültiges Zieles - der Webserver oder andere spezielle Dienste - umfassendere Einschränkungen gelten.

Die zahlreichen verfügbaren Firewalls unterscheiden sich zum Teil im Preis aber auch in den Funktionen und der Leistung. Im Allgemeinen verfügen die teureren Firewalls über mehr Leistung und Funktionen. An späterer Stelle dieses Moduls werden die Firewalls zur Unterscheidung in Klassen zusammengefasst. Bevor Sie sich jedoch für eine Firewall entscheiden, müssen Sie folgendes Bedenken:

Budget

Vorhandene Geräte

Verfügbarkeit

Skalierbarkeit

Benötigte Features

Budget

Wie hoch ist das verfügbare Budget? Jede in der Umgebung eingesetzte Firewall sollte über den angemesensten Funktionsumfang verfügen und gleichzeitig kosteneffektiv sein. Seien Sie sich jedoch der Gefahren für Ihr Unternehmen bewusst, wenn die Firewall aus Kostengründen zu eingeschränkt ist. Überlegen Sie, welche Kosten ein durch einen DoS-Angriff verursachter Systemausfall in Ihrer Organisation verursacht.

Vorhandene Geräte

Können bereits vorhandene Geräte eingesetzt werden, um Kosten zu sparen? Möglicherweise befinden sich in der Umgebung bereits verwendbare Firewalls und Router, auf denen Firewallfeatures installiert werden können. Häufig kann der Internetdienstanbieter Firewallbeschränkungen für die Verbindung implementieren, zum Beispiel ein Durchsatz Limit. Durch ein solches Limit werden die an Sie gesendeten Pakete beschränkt, um verteilte Dienstverweigerungsattacken (DDoS) im Fall einer gleichzeitigen Bombardierung des Netzwerks durch viele Computer zu reduzieren. Fragen Sie Ihren Internetdienstanbieter, ob er eine Filterung gemäß RFC 1918 und 2827 durchführt.

Verfügbarkeit

Muss die Firewall immer verfügbar sein? Wird der Zugriff auf einen öffentlichen Webserver bereitgestellt, auf den Benutzer rund um die Uhr zugreifen, muss eine Verfügbarkeit von nahezu 100% gewährleistet sein. Da bei allen Firewalls die Möglichkeit eines Ausfalls besteht, müssen Sie entsprechende vorbeugende Maßnahmen ergreifen. Die Verfügbarkeit einer Firewall kann durch zwei Methoden verbessert werden:

Redundanten Komponenten
Durch das Duplizieren der Komponenten mit einer höheren Ausfallwahrscheinlichkeit, zum Beispiel das Netzteil, erhöhen Sie die Ausfallsicherheit der Firewall, da beim Ausfall der ersten Komponente der Betrieb nicht beeinträchtigt wird. Preisgünstige Firewalls sind normalerweise nicht mit redundanten Optionen ausgestattet, da eine höhere Ausfallsicherheit insbesondere durch zusätzliche Kosten ohne direkte Leistungssteigerung erreicht wird.

Geräteverdopplung
Durch den Einsatz eines weiteren Firewallgeräts erhalten Sie ein vollständig ausfallsicheres System. Allerdings entstehen hierdurch beträchtliche Kosten, da Sie auch die doppelte Anzahl von Netzwerkkabeln benötigen und die Router- und Switchverbindungen bereitstellen müssen. Je nach Firewalltyp erzielen Sie dafür jedoch möglicherweise auch den doppelten Durchsatz. Theoretisch können alle Firewalls, von der kleinsten bis zur größten, dupliziert werden. In der Praxis sieht es jedoch so aus, dass der softwarebasierte Wechselmechanismus in kleineren Firewalls möglicherweise nicht vorhanden ist.

Skalierbarkeit

Welche Anforderungen werden hinsichtlich des Durchsatzes an die Firewall gestellt? Der Durchsatz kann in Form von Bit pro Sekunde und Paketen pro Sekunde gemessen werden. Bei einem jungen Unternehmen sind die Durchsatzraten unter Umständen noch unbekannt, und bei einem bereits etablierten, erfolgreichen Unternehmen kann sich der Durchsatz über das Internet schnell erhöhen. Damit Sie solchen Änderungen gerecht werden können, müssen Sie eine Firewalllösung auswählen, die bei zunehmendem Durchsatz durch Hinzufügen weiterer Firewallkomponenten oder Installieren einer weiteren parallelen Firewall skaliert werden kann.

Features

Welche Firewallfeatures werden benötigt? Basierend auf der Risikobewertung, die in Bezug auf die in der Organisation angebotenen Dienste durchgeführt wurde, können Sie festlegen, welche Arten von Firewallfeatures für den Schutz der für die Bereitstellung dieser Dienste erforderlichen Ressourcen benötigt werden. Wenn VPNs (virtuelle private Netzwerke) erforderlich sind, wirkt sich dies auf den Entwurf aus.

Zum SeitenanfangZum Seitenanfang

Systemattacken und Abwehr

Dieser Abschnitt vermittelt eine Übersicht über einige der bekannteren Attacken und die Gründe zur Verwendung des Firewalldienstes als eine erste Verteidigungslinie.

Externe Attacken

Das Internet ist das Paradies für Leute, die Organisationen schädigen oder Geschäftsgeheimnisse stehlen möchten, um sich Wettbewerbsvorteile zu sichern. Wenn Sie eine Perimeterfirewall installieren und einen Blick in das Eindringungsprotokoll werfen, werden Sie vom Volumen überrascht sein. Bei den meisten dieser Eindringungen handelt es sich allerdings nur um Tests, um festzustellen, ob der Computer reagiert und welche Dienste ausgeführt werden. Dies wirkt ziemlich harmlos. Entdeckt der Angreifer jedoch Ihren Computer, kann er den ausgeführten Dienst angreifen, wenn er sich über dessen Schwächen bewusst ist.

Interne Attacken

Neben dem Schutz vor internetbasierten Attacken gilt es, sensible Daten zu schützen. Die meisten Organisationen verfügen über wichtige Informationen, die vor bestimmten Benutzern im internen Netzwerk (zum Beispiel Mitarbeiter, Partner und Kunden) zu schützen sind. Während eine Perimeterfirewall in erster Linie als Schutz vor externen Eindringungsversuchen dient, können bewanderte interne Benutzer versuchen, über das Internet einzudringen.

Angriffstypen

Bedrohungen durch Angriffe können viele Formen annehmen und nur bedingt beschrieben werden, da täglich neue entstehen. Bestimmte Angriffe wie das Anpingen einer Serveradresse scheinen harmlos zu sein, nachdem ein Hacker jedoch festgestellt hat, dass ein Server vorhanden ist, versucht er unter Umständen eine folgenschwerere Attacke. Aus diesem Grund sollten alle Eindringungen als potentiell gefährlich eingestuft werden. Zu den wichtigsten Angriffen zählen:

Packet Sniffer
Ein Sniffer ist eine Softwareanwendung oder ein Hardwaregerät, die beziehungsweise das dem LAN hinzugefügt wird, um Informationen aus Ethernet-Frames zu erfassen. Die ursprüngliche Aufgabe dieser Systeme waren die Fehlerbehandlung und die Analyse des Ethernet-Verkehrs sowie die Überprüfung einzelner IP-Pakete. Die Sniffer werden in einem Modus betrieben, der die Überprüfung von jedem übertragenen Paket ermöglicht. Viele Anwendungen, zum Beispiel Telnet, versenden Benutzernamen- und Kennwortinformationen im Klartext, d. h. sie können von Snifferprodukten gelesen werden, und ein Hacker kann sich mit einem Sniffer Zugang zu vielen Anwendungen verschaffen.

Das Sniffing kann durch eine Firewall nicht verhindert werden, da ein Sniffer keinen Netzwerkverkehr verursacht. Gegen das Sniffing können verschiedene Methoden eingesetzt werden, insbesondere die Verwendung stark verschlüsselter Kennwörter. Diese Methoden werden in diesem Modul jedoch nicht näher behandelt.

IP-Spoofing
Als IP-Spoofing wird das Ändern der Quelladresse eines IP-Pakets bezeichnet, um die Identität des Absenders zu kaschieren. Da für das Routing im Internet beim Versenden eines Pakets nur die Zieladresse verwendet und die Quelladresse ignoriert wird, kann ein Hacker ein zerstörerisches Paket an Ihr System senden, indem er die Quelle unkenntlich macht. Spoofing ist nicht unbedingt zerstörerisch, es signalisiert jedoch, dass ein Angriff nicht unwahrscheinlich ist. Die Adresse kann außerhalb des Netzwerks liegen (um die Identität des Eindringlings zu verdecken), es kann sich aber auch um eine der vertrauten internen Adressen mit privilegiertem Zugriff handeln. Das Spoofing wird normalerweise für die an späterer Stelle dieses Moduls beschriebenen DoS-Attacken (Dienstverweigerung) eingesetzt.

IP-Spoofing kann durch die Implementierung eines oder beider der folgenden Mechanismen verhindert werden:

Zugriffssteuerung
Verweigern Sie aus dem Internet eingehenden Paketen mit einer Quelladresse im internen Netzwerk den Zugriff.

RFC 2827-Filterung
Sie müssen sicherstellen, dass kein IP-Spoofing am ausgehenden Verkehr stattfindet. Durch Spoofing manipulierte Pakete müssen aus irgendeinem Netzwerk stammen, und Sie möchten sichergehen, dass Ihr Netzwerk nicht als Quelle für das Spoofing eingesetzt wird. Daher sollten Sie allen ausgehenden Verkehr von Ihrem Netzwerk unterbinden, der keine Quelladresse in Ihrer Zuordung besitzt. Der Internetdienstanbieter kann durch Spoofing manipulierten Verkehr aus Ihrem Netzwerk möglicherweise verwerfen, indem er überprüft, ob die Quelladresse Ihrem Netzwerk angehört. Diese Technik wird als RFC 2827-Filterung bezeichnet. Weitere Informationen zur Implementierung dieser Technik erhalten Sie von Ihrem Internetdienstanbieter. Die Filterung von ausgehendem Verkehr ist für Sie selbst nicht von Vorteil, ein anderes Netzwerk mit ähnlicher Filterung kann allerdings Spoofing-Attacken auf Ihr Netzwerk verhindern. Die meisten modernen Firewalls können das Spoofing von eingehendem IP-Verkehr verhindern.

DoS-Angriffe
Dienstverweigerungsattacken(DoS) zählen zu den am schwersten zu verhindernden Angriffen. Diese Attacken unterscheiden sich insofern von anderen Attacken, als sie dem Netzwerk keinen dauerhaften Schaden zufügen. Stattdessen versuchen DoS-Attacken, das Netzwerk außer Gefecht zu setzen, indem ein bestimmter Computer (entweder ein Server oder Netzwerkgerät) mit Unmengen von Datenpaketen bombardiert wird, oder indem der Durchsatz der Netzwerkverbindungen so reduziert wird, dass die Kunden verärgert werden und ein Geschäftsverlust eintritt. Eine verteilte DoS-Attacke (DDoS) ist eine von vielen Computern initiierte Attacke, die Ihr System gezielt bombardiert. Die angreifenden Computern müssen die Attacke nicht selbst initiieren. Viel mehr werden diese Computer aufgrund eigener Sicherheitslücken von einem Hacker zu diesem Zweck missbraucht und zum Senden großer Datenmengen an Ihr Netzwerk angewiesen. Die Folge ist eine Überlastung der Verbindung des Internetdienstanbieters oder eines Ihrer Geräte.

Attacken auf Anwendungsebene
Attacken auf Anwendungsebene, über die in den Medien gerne berichtet wird, nutzen in der Regel bekannte Sicherheitslöcher von Anwendungen wie Web- und Datenbankservern. Das Problem beruht darauf, dass diese Anwendungen - und dies gilt insbesondere für Webserver - für den öffentlichen Zugriff unbekannter Benutzer konzipiert sind, die nicht vertrauenswürdig sind. Da die meisten Attacken auf bekannte Schwachstellen im Produkt abzielen, ist die Installation der neuesten Updates der Hersteller die beste Gegenmaßnahme. Der berüchtigte Structured Query Language (SQL) Slammer-Wurm hat nach seinem Erscheinen im Januar 2003 innerhalb kürzester Zeit 35.000 Systeme befallen. Der Wurm nutzte ein bekanntes Problem in Microsoft SQL Server 2000, für das Microsoft bereits Monate zuvor im August 2002 eine Lösung bereitgestellt hatte. Dieser Wurm nutzte die Tatsache, dass viele Administratoren das empfohlene Update nicht angewendet hatten und keine ausreichenden Firewalls (von denen die Pakete hätten entfernt werden können, die für den vom Wurm verwendeten Port bestimmt waren) installiert waren. In diesen Fällen hat eine Firewall lediglich eine Abfangfunktion. Von den Herstellern wird die Anwendung von Aktualisierungen auf alle Produkte empfohlen, insbesondere um Attacken auf Anwendungsebene zu verhindern.

Netzwerkerkundung
Bei diesem Angriff werden die Netzwerke vor der Attacke nach gültigen IP-Adressen, DNS-Namen und IP-Ports durchsucht. Obwohl eine Netzwerkuntersuchung an sich harmlos ist, kann die Aufdeckung verwendeter Adressen feindliche Attacken begünstigen. Wenn Sie sich die Protokolle einer Firewall ansehen, werden Sie feststellen, dass die meisten Eindringungen dieser Art sind. Bei einer Erkundung werden typischerweise der Transport Control Protocol (TCP)- und der User Datagram Protocol (UDP)-Port sowie alle anderen gängigen Ports, die von Microsoft SQL Server, NetBIOS, HTTP und SMTP verwendet werden, überwacht. All diese Angriffe beabsichtigen eine Antwort, mit der der Hacker feststellen kann, dass der Server vorhanden ist und einen dieser Dienste ausführt. Viele dieser Attacken können vom Grenzrouter oder von einer Firewall verhindert werden. Viele Dienste sind standardmäßig vorhanden, und Sie können die nicht benötigten Dienste deaktivieren. Durch das Abschalten einiger dieser Dienste können jedoch die Netzwerkdiagnosefunktionen eingeschränkt werden.

Viren/Trojanische Pferde
Viren können im Allgemeinen nicht von Firewalls erkannt werden, da sie meist in E-Mails als Dateianhang eingebettet sind. Herkömmliche Viren beschädigen lediglich das betroffene Gerät. Moderne Viren versuchen dagegen, durch Replikation andere lokale Computer zu beschädigen oder durch Massenversand von E-Mails mit angehängtem Virus auf das Internet überzugreifen. Viele dieser Viren installieren auf dem betroffenen Gerät ein als Trojanisches Pferd bezeichnetes Programm. Ein Trojanisches Pferd fügt keinen direkten Schaden zu. Es sendet aber Informationen vom jeweiligen Gerät über das Internet an den Hacker, der dann anhand der Informationen über die installierte Software und die Sicherheitslücken einen gezielten Angriff auf dieses Gerät starten kann. Während der primäre Schutz gegen Viren die stete Aktualisierung der Virensoftware auf dem Gerät ist, kann die Perimeterfirewall die Effektivität des Trojanischen Pferdes eindämmen.

Zum SeitenanfangZum Seitenanfang

Gerätedefinition

Eine Firewall ist ein Mechanismus zur Steuerung des Flusses des IP-Datenverkehrs zwischen Netzwerken. Firewallgeräte werden normalerweise auf der dritten Schicht des OSI-Modells betrieben, obgleich einige Modelle auch auf höheren Schichten betrieben werden können.

Firewalls bieten im Allgemeinen die folgenden Vorteile:

Verteidigung interner Server vor Netzwerkattacken

Durchsetzung von Richtlinien für die Netzwerkverwendung und den Netzwerkzugriff

Überwachung des Datenverkehrs und Ausgabe von Warnungen, wenn verdächtige Muster erkannt werden

Sie sollten sich im Klaren darüber sein, dass Firewalls nur bestimmte Arten von Sicherheitsrisiken abschwächen. Eine Firewall verhindert normalerweise nicht den Schaden, der einem Server mit einem Softwaresicherheitsrisiko zugefügt werden kann. Firewalls sollten als Teil einer umfassenden Sicherheitsarchitektur eines Unternehmens implementiert werden.

Zum SeitenanfangZum Seitenanfang

Firewallfeatures

Abhängig von den von einer Firewall unterstützten Funktionen wird der Datenverkehr mit verschiedenen Methoden entweder zugelassen oder blockiert. Diese Methoden bieten entsprechend den Fähigkeiten der Firewall unterschiedliche Sicherheitsgrade. Die folgenden Firewallfeatures sind in einer Reihenfolge mit zunehmender Komplexität aufgelistet:

Netzwerkadapter-Eingabefilter

Statische Paket-Filter

Netzwerkadressübersetzung (NAT)

Stateful Inspection

Prüfung auf Sitzungsebene

Proxy

Filterung auf Anwendungsebene

Im Allgemeinen unterstützen Firewalls mit komplexen Features auch die einfacheren Features. Lesen Sie sich jedoch bei der Auswahl einer Firewall die Herstellerinformationen durch, da zwischen den implizierten und den tatsächlichen Funktionen einer Firewall feine Unterschiede bestehen können. Bei der Auswahl einer Firewall müssen Sie sich über die Features erkundigen und anhand von Tests sicherstellen, dass das Produkt wirklich den Spezifikationen entspricht.

Netzwerkadapter-Eingabefilter

Netzwerkadapter-Eingabefilter überprüfen die Quell- und Zieladresse und andere Informationen im eingehenden Paket, woraufhin das Paket entweder blockiert oder durchgelassen wird. Diese Filterung kann nur für den eingehenden und nicht für den ausgehenden Datenverkehr verwendet werden. Der Filter vergleicht IP-Adressen und Portnummern für UDP und TCP sowie die Protokolle des Datenverkehrs, TCP, UDP und Generic Routing Encapsulation (GRE).

Bei einer zum Schutz eines Webservers eingerichteten Perimeterfirewall sollte gültiger eingehender Verkehr nur auf die IP-Adresse des Webservers und normalerweise einen beschränkten Bereich von Portnummern, zum Beispiel 80 für HTTP oder 443 für HTTPS, zugreifen können. Obwohl die Perimeterfirewall über diese Steuerungsfunktion verfügt, sollte sie auch im Grenzrouter implementiert werden.

Die Netzwerkadapter-Eingabefilterung ermöglicht das schnelle und effiziente Blockieren von eingehenden Standardpaketen, die den in der Firewall konfigurierten Regelkriterien entsprechen. Diese Form der Filterung kann jedoch leicht umgangen werden, da sie nur die Header des IP-Datenverkehrs vergleicht und davon ausgeht, dass der gefilterte Verkehr den IP-Standards entspricht und nicht zum Umgehen der Filterung konzipiert ist.

Statische Paket-Filter

Statische Paketfilter gleichen Netzwerkadapter-Eingabefiltern insofern, als dass sie IP-Header abgleichen, um festzulegen, ob der Datenverkehr die Schnittstelle passieren darf oder nicht. Die statische Paketfilterung kann jedoch sowohl für die eingehende als auch die ausgehende Kommunikation einer Schnittstelle verwendet werden. Darüber hinaus bieten statische Paketfilter im Vergleich zur Netzwerkadapter-Eingabefilterung in der Regel eine zusätzliche Funktion, die überprüft, ob das Bestätigt-Bit (ACK) im IP-Header gesetzt ist. Das ACK-Bit informiert darüber, ob das Paket eine neue Anforderung oder die wiederholte Anforderung einer bereits gestellten Anforderung ist. Der Filter überprüft nicht, ob das Paket ursprünglich von der Schnittstelle gesendet wurde, von der das Paket empfangen wurde. Er überprüft lediglich, ob es sich bei dem an die Schnittstelle gerichteten Datenverkehr um wiederholten Datenverkehr handelt, der auf den Richtlinien der IP-Header basiert.

Diese Methode gilt nur für das TCP-Protokoll, nicht für das UDP-Protokoll. Die statische Paketfilterung ist wie auch die Netzwerkadapter-Eingabefilterung sehr schnell. Die Fähigkeiten dieser Filtermethode sind jedoch beschränkt, und der Filter kann mit speziell codiertem Datenverkehr umgangen werden.

Die statische Paketfilterung sollte wie die Netzwerkadapter-Eingabefilterung nicht nur in der Perimeterfirewall, sondern auch im Grenzrouter implementiert werden.

Netzwerkadressübersetzung (NAT)

Im weltweiten Bereich von IP-Adressen gelten bestimmte Adressbereiche als private Adressen. Diese sind für die Verwendung in Ihrer Organisation bestimmt und haben im Internet keine Bedeutung. Der für eine von diesen IP-Adressen bestimmte Datenverkehr kann nicht über das Internet geroutet werden. Wenn Sie den internen Geräten also eine private Adresse zuweisen, erhalten Sie weiteren Schutz vor Angriffen. Da diese internen Geräte jedoch auch oftmals auf das Internet zugreifen müssen, konvertiert die Netzwerkadressübersetzung die privaten Adressen in Internetadressen.

Auch wenn die Netzwerkadressübersetzung nicht unbedingt eine Firewalltechnologie ist, verhindert das Kaschieren der wahren IP-Adresse eines Servers, den Zugriff von Angreifern auf wertvolle Fingerabdruckinformationen des Servers.

Stateful Inspection

Bei der Stateful Inspection wird der gesamte ausgehende Verkehr in einer Statustabelle protokolliert. Wenn der Verbindungsverkehr an die Schnittstelle zurückgegeben wird, wird anhand der Statustabelle sichergestellt, dass der Verkehr von dieser Schnittstelle stammt. Die Stateful Inspection nimmt etwas mehr Zeit in Anspruch als die statische Paketfilterung. Dafür gewährleistet diese Methode, dass der Verkehr nur durchgelassen wird, wenn er den Anforderungen des ausgehenden Verkehrs entspricht. Die Statustabelle enthält Elemente wie die Ziel-IP-Adresse, die Quell-IP-Adresse, den aufgerufenen Port und den ursprünglichen Host.

Bestimmte Firewalls speichern mehr Informationen in der Statustabelle als andere (zum Beispiel die gesendeten und empfangenen IP-Fragmente). Die Firewall kann sicherstellen, dass der Verkehr verarbeitet wird, wenn alle oder nur einige der fragmentierten Informationen zurückgegeben werden. Die Firewalls unterschiedlicher Hersteller implementieren die Stateful Inspection auf unterschiedliche Weise. Lesen Sie die Firewalldokumentation daher sorgfältig durch.

Die Stateful Inspection trägt dazu bei, das Risiko von Netzwerkerkundungen und von IP-Spoofing zu reduzieren.

Prüfung auf Sitzungsebene

Mit der Filterung auf Sitzungsebene können Sitzungen anstatt Verbindungen oder Pakete geprüft werden. Sitzungen werden nur als Reaktion auf eine Benutzeranforderung eingerichtet und können mehrere Verbindungen beinhalten. Die Filterung auf Sitzungsebene stellt integrierte Unterstützung für Protokolle mit sekundären Verbindungen bereit, zum Beispiel FTP und Windows Media-Datenströme. Dieser Filtertyp trägt normalerweise zur Reduktion der Risiken durch Netzwerkerkundungs-, DoS- und IP-Spoofing-Attacken bei.

Proxyfirewalls

Proxyfirewalls fordern im Auftrag eines Clients Informationen an. Im Gegensatz zu den oben beschriebenen Firewalltechnologien findet die Kommunikation hier nicht direkt zwischen dem Client und dem Server mit dem Dienst statt. Stattdessen sammelt die Proxyfirewall im Auftrag des Clients Informationen und gibt die vom Dienst empfangenen Daten an den Client zurück. Da der Proxyserver diese Informationen für einen Client sammelt, speichert er den Inhalt auf der Festplatte oder im Arbeitsspeicher zwischen. Wenn ein anderer Client eine identische Datenanforderung ausführt, kann diese anhand der Daten aus dem Cache bearbeitet werden, wodurch der Netzwerkverkehr und die Serververarbeitungszeit reduziert werden.

Bei nicht verschlüsselten Sitzungen wie schreibgeschützten FTP- oder HTTP-Sitzung erstellt eine Proxyfirewall sowohl mit dem Client als auch dem Server einzelne Sitzungen, so dass nie eine direkte Verbindung zwischen dem Client und dem Server besteht. Bei verschlüsselten Sitzungen überprüft der Proxyserver dagegen, ob die Headerinformationen den Standards der SSL-Kommunikation (Secure Sockets Layer) entsprechen, bevor er den Verkehr passieren lässt. Der Proxyserver kann die übertragenen Daten jedoch nicht überprüfen, da diese vom Client und Server verschlüsselt werden (Ende-zu-Ende-Verschlüsselung).

Ein Proxyserver bietet im Vergleich zu den oben beschriebenen Firewalltechnologien u. a. die folgenden Vorteile:

Keine direkten Verbindungen zwischen Client und Server
Der Client und Server stellen keine direkten Verbindungen miteinander her. Wird jedoch eine direkte Verbindung verwendet (wie bei SSL), werden der Protokollheader und der Verkehr überprüft.

Der Server kann den Inhalt von häufig angeforderten Sites zwischenspeichern.
Durch das Zwischenspeichern wird weniger Bandbreite belegt, und unnötige Anforderungen verlassen die Umgebung nicht.

Überprüfung der übertragenen Protokolle
Neben der Überprüfung der für die Kommunikation verwendeten Portnummer überprüfen Proxyserver auch die übertragenen Protokolle. Überprüft werden zum Beispiel nur FTP-Download, HTTP, SSL und einige Textmeldungsdienste (zum Beispiel nur Text, kein Video, Audio oder Dateiübertragungen).

Kann zum Weiterleiten von Anforderungen basierend auf einer Benutzer-ID konfiguriert werden.
Proxyserver können oftmals so konfiguriert werden, dass Anforderungen nicht nur basierend auf der Quell-IP-Adresse, dem Port oder dem Protokoll weitergeleitet werden, sondern anhand der Benutzer-ID (das heiße, Beschränkungen können nur für bestimmte Benutzer definiert werden).

Der Hauptnachteil eines Proxyservers ist, dass er sehr viel mehr Verarbeitungsleistung zur Durchführung der Protokollüberprüfung erfordert. Da die Verarbeitungsleistung jedoch stets zunimmt, wird dieses Problem immer geringer. Proxyserver bieten allerdings nicht den Durchsatz einer Firewall mit Stateful Inspection oder Paketfilterung. Die Vorteile der Protokollüberprüfung sind nach wie vor erforderlich in einer Welt, in der Hochgeschwindigkeitsnetzwerke für private Benutzer im Überfluss vorhanden sind und Internetverbindungen immer häufiger für nicht vertrauenswürdige Knoten verfügbar werden, da Internetdienstanbietern geringe oder keine gesetzlichen Verpflichtung zur Bereitstellung vertrauenswürdiger Internetdienste auferlegt werden.

Das Proxyfeature trägt dazu bei, das Risiko von Netzwerkerkundungs-, DoS- und IP-Spoofing-Attacken, Viren/Trojanischen Pferden und einigen Attacken auf Anwendungsebene zu reduzieren.

Filterung auf Anwendungsebene

Die komplexeste Überprüfung des Firewallverkehrs ist die Filterung auf Anwendungsebene. Gute Anwendungsfilter ermöglichen die Analyse von Datenströmen für eine bestimmte Anwendung und eine anwendungsspezifische Verarbeitung der durch die Firewall übertragenen Daten mittels Überprüfung, Filterung, Blockierung, Umleitung und Änderung.

Dieser Mechanismus wird zum Schutz gegen unsichere SMTP-Befehle oder Attacken auf interne DNS-Server verwendet. Normalerweise können der Firewall Tools von Drittanbietern für die Inhaltsfilterung hinzugefügt werden, zum Beispiel Virenerkennung, lexikalische Analyse und Sitekategorisierung.

Eine Firewall auf Anwendungsebene kann viele unterschiedliche Protokolle basierend auf dem übertragenen Verkehr überprüfen. Anders als eine Proxyfirewall, die normalerweise den Internetverkehr (zum Beispiel HTTP, FTP-Download und SSL) überprüft, kann die Firewall auf Anwendungsebene genauer steuern, wie Verkehr durch die Firewall geleitet wird. Eine Firewall auf Anwendungsebene kann zum Beispiel nur innerhalb der Firewallgrenzen initiierten UDP-Verkehr zulassen. Wenn ein Internethost eine Portüberprüfung für eine Firewall mit Stateful Inspection-Feature ausführt, um festzustellen, ob DNS-Verkehr in die Umgebung zulässig ist, wird die Portüberprüfung wahrscheinlich ergeben, dass der dem DNS zugeordnete bekannte Port geöffnet war. Bei einer Attacke würde diese Firewall die Anforderungen jedoch zurückweisen, da sie von außerhalb stammen. Eine Firewall auf Anwendungsebene kann Ports basierend auf dem Ursprung des Verkehrs dynamisch öffnen (das heißt nur für internen Verkehr).

Die Firewall auf Anwendungsebene trägt dazu bei, die Risiken von IP-Spoofing- und DoS-Attacken, einigen Attacken auf Anwendungsebene sowie Attacken durch Netzwerkerkundungen und Viren/Trojanische Pferde zu reduzieren. Die Nachteile einer Firewall auf Anwendungsebene sind mit denen des Proxyservers vergleichbar: Die erforderliche Verarbeitungsleistung ist erheblich höher, und Verkehr wird langsamer weitergeleitet als bei Firewalls mit Stateful Inspection oder statischer Filterung. Bei Verwendung einer Firewall auf Anwendungsebene gilt es insbesondere zu berücksichtigen, welche Funktionen die Firewall auf der Anwendungsebene bereitstellen kann.

Das Anwendungsebenenfeature stellt sicher, dass nur geeigneter Verkehr einen Port passiert. Anders als Firewalls mit Paketfiltern oder Stateful Inspection, die einfach den Port und die Quell- und Ziel-IP-Adressen überprüfen, können Firewalls mit Anwendungsebenenfiltern die gesendeten Daten und Befehle in beide Richtungen überprüfen.

Die meisten Firewalls, die das Anwendungsebenenfeature unterstützen, enthalten nur Anwendungsebenenfilter für Klartextverkehr wie proxy-fähige Meldungsdienste, HTTP und FTP. Bedenken Sie, dass eine solche Firewall sowohl den Verkehr in die Umgebung als auch den Verkehr aus der Umgebung steuern kann. Ein weiterer Vorteil diese Funktion besteht darin, dass DNS-Verkehr beim Passieren der Firewall auf DNS-spezifische Befehle überprüft werden kann. Diese weitere Schutzschicht stellt sicher, dass Benutzer oder Angreifer in zugelassenem Datenverkehr keine Informationen kaschieren können.

Wenn Ihre Organisation ein Online-Geschäft betreibt, in dem die Kreditkartennummern und weitere persönliche Informationen von Kunden erfasst werden, sollten zum Schutz der Informationen die höchstmöglichen Schutzmaßnahmen ergriffen werden. Daten dieser Art, die eine hohe Sicherheit erfordern, müssen zwischen dem PC des Benutzers und Ihren Webservern mit dem SSL-Protokoll verschlüsselt werden.

Dabei müssen die Fälle unterschieden werden, in denen das Anwendungsebenenfeature zusammen mit SSL verwendet wird. SSL ist verschlüsselt, und die Firewall kann die Protokollbefehle nicht verstehen, da sie im verschlüsselten Paket enthalten sind. Jede Firewall, die das Anwendungsebenenfeature unterstützt, handhabt dies unterschiedlich. Lesen Sie daher die Dokumentation Ihrer Firewall sorgfältig durch.

Das Problem liegt darin, dass kein Gerät in der Lage ist, Daten zu überprüfen, nachdem eine SSL-Sitzung hergestellt und die Verschlüsselung verhandelt wurde. Angenommen, ein Client mit einer Firewall mit Proxy-Anwendungsebenenfilter fordert bei der Firewall eine Verbindung mit einem sicheren Webserver an. Die Firewall und der Server übernehmen die anfängliche Einrichtung der TCP-Verbindung, und die Firewall übergibt die Verbindung an den Client, um die Verschlüsselung mit dem Server einzurichten. Nach der Übergabe der Verbindung an den Client kann die Firewall die Daten nicht mehr überprüfen.

Wenn das Anwendungsebenenfeature für öffentliche Internetdienste verwendet wird, sind die folgenden Optionen verfügbar:

Beenden des SSL-Verkehrs an der Firewall
Da die Firewall die Daten für den Internetdienst entschlüsselt, kann sie eingehende SSL-Verbindungen auf zulässigen Webverkehr überprüfen und Verkehr verwerfen.

Erneutes Generieren von SSL-Verkehr von der Firewall zum offen gelegten Webdienst
Diese Option eignet sich besonders, wenn grundlegende Anmeldeinformationen (zum Beispiel Klartextbenutzername und -kennwort) im SSL-Tunnel verwendet werden. Hacker, die Verkehr zwischen der internen Schnittstelle der Firewall und dem veröffentlichten Webdienst mittels Sniffer aufdecken können, haben keinen Zugriff auf den Verkehr, da dieser erneut verschlüsselt wird.

Übertragung des SSL-Verkehrs durch die Firewall zum Back-End-Server
Dieser Ansatz entspricht im Wesentlichen einer Umkehrung der SSL-Verbindung zwischen dem internen Client und dem externen Server.

Anhand dieser Optionen können Sie auf unterschiedliche Weise steuern, wie weit eine verschlüsselte Sitzung in eine Umgebung getunnelt werden kann. Da eine Überprüfung der Daten im Tunnel nicht möglich ist, gilt im Allgemeinen, je näher der verschlüsselte Verkehr am Rand der Umgebung gehalten wird, desto besser.

Zum SeitenanfangZum Seitenanfang

Firewallklassen

In diesem Abschnitt wird eine Reihe von Firewallklassen vorgestellt, die jeweils bestimmte Funktionen bereitstellen. Bestimmte Firewallklassen können für spezifische Anforderungen im IT-Architekturentwurf verwendet werden.

Das Gruppieren von Firewalls in Klassen ermöglicht die Abstraktion der Hardware von den Dienstanforderungen, so dass Letztere mit den Klassenfeatures abgeglichen werden können. Wenn eine Firewall einer bestimmten Klasse angehört, können Sie davon ausgehen, dass sie alle Dienste dieser Klasse unterstützt.

Die folgenden Klassen werden unterschieden:

Persönliche Firewalls

Routerfirewalls

Preisgünstige Hardwarefirewalls

High-End-Hardwarefirewalls

Serverfirewalls

Durch den Entwurf bedingt überlappen sich einige dieser Klassen. Aufgrund dieser Überlappung kann ein Firewalltyp mehreren Klassen zugeordnet sein. Viele Klassen können auch durch mehrere Hardwaremodelle desselben Herstellers bereitgestellt werden. Eine Organisation kann daher ein Modell auswählen, das ihren aktuellen und zukünftigen Anforderungen am besten entspricht.

Abgesehen vom Preis und den Features, können Firewalls basierend auf der Leistung (beziehungsweise Durchsatz) klassifiziert werden. Viele Hersteller stellen für ihre Firewall jedoch keine Angaben zum Durchsatz bereit. Findet man Durchsatzzahlen (normalerweise bei Hardwarefirewallgeräten) wird kein Standardmessverfahren befolgt, so dass Vergleiche zwischen Herstellern schwierig sind. Eine Maßeinheit ist zum Beispiel die Anzahl von Bits pro Sekunde (Bits/Sek.). Da die Firewall aber eigentlich IP-Pakete verarbeitet, ist diese Angabe bedeutungslos, wenn die zur Messung der Rate verwendete Paketgröße nicht angegeben wird.

In den folgenden Abschnitten werden die einzelnen Firewallklassen ausführlich beschrieben.

Zum SeitenanfangZum Seitenanfang

Klasse 1 - Persönliche Firewall

Eine persönliche Firewall ist als Softwaredienst definiert, der eine einfache Firewallfunktion für einen PC bereitstellt. Mit der zunehmenden Anzahl von permanenten Internetverbindungen (im Gegensatz zu DFÜ-Verbindungen) hat auch die Verwendung von persönlichen Firewalls zugenommen.

Obwohl eine persönliche Firewall zum Schutz eines einzigen Computers ausgelegt ist, kann sie auch ein kleines Netzwerk schützen. Zu diesem Zweck muss die Internetverbindung des Computers, auf dem die Firewall installiert ist, für andere Computer im internen Netzwerk freigegeben werden. Die Leistung einer persönlicher Firewallsoftware ist jedoch beschränkt, und sie beeinträchtigt die Leistung des Computers, auf dem sie installiert ist. Die Schutzmechanismen sind in der Regel weniger effektiv als die einer dedizierten Firewalllösung, da sie nur IP- und Portadressen blockieren. Allerdings ist auf einem PC meist eine geringere Schutzstufe ausreichend.

Persönliche Firewalls sind zum Teil im Lieferumfang des Betriebssystems enthalten, oder sie können sehr kostengünstig erworben werden. Sie eignen sich für die vorgesehenen Zwecke, sollten aufgrund ihrer beschränkten Leistung und Funktionalität jedoch nicht in Unternehmen eingesetzt werden, auch nicht in kleinen Zweigstellen. Dieser Firewalltyp ist aber besonders für mobile Benutzer mit Laptops zu empfehlen.

Persönliche Firewalls werden zu sehr unterschiedlichen Preisen und mit enormen Funktionsunterschieden angeboten. In manchen Fällen ist das Fehlen einer bestimmten Funktion aber nicht wichtig, zum Beispiel auf einem Laptop. Die folgende Tabelle zeigt die im Allgemeinen in persönlichen Firewalls verfügbaren Features.

Tabelle 1: Klasse 1 - Persönliche Firewalls

FirewallattributWert

Unterstützte grundlegende Features

Die meisten persönlichen Firewalls unterstützen statische Paket-Filter, die Netzwerkadressübersetzung (NAT) und die Stateful Inspection, während einige zudem mit Funktionen für die Prüfung auf Sitzungsebene und/oder Filterung auf Anwendungsebene ausgestattet sind.

Konfiguration

Automatisch (manuelle Option ebenfalls verfügbar)

IP-Adressen blockieren oder zulassen

Ja

Protokoll oder Portnummern blockieren oder zulassen

Ja

Eingehende ICMP-Meldungen blockieren oder zulassen

Ja

Ausgehenden Zugriff steuern

Ja

Anwendungsschutz

Möglicherweise

Akustische oder visuelle Warnungen

Möglicherweise

Protokolldatei für Attacken

Möglicherweise

Echtzeit-Warnungen

Möglicherweise

VPN-Unterstützung

Normalerweise nein

Remoteverwaltung

Normalerweise nein

Herstellerunterstützung

Sehr unterschiedlich (abhängig vom Produkt)

Option für hohe Verfügbarkeit

Nein

Anzahl von gleichzeitigen Sitzungen

1 bis 10

Modulare Updates (Hardware oder Software)

Keine bis beschränkt

Preisspanne

Niedrig (in einigen Fällen kostenlos)

Persönliche Firewalls besitzen die folgenden Vor- und Nachteile.

Vorteile

Vorteile von persönlichen Firewalls:

Preisgünstig
Wenn nur wenige Lizenzen benötigt werden, stellen persönliche Firewalls eine kostengünstige Lösung dar. Eine persönliche Firewall ist in Versionen des Betriebssystems Microsoft Windows XP integriert. Weitere Produkte für andere Versionen von Windows oder andere Betriebssysteme sind kostenlos oder zu einem niedrigen Preis erhältlich.

Leicht zu konfigurieren
Persönliche Firewallprodukte lassen sich leicht mit den Standardkonfigurationsoptionen konfigurieren.

Nachteile

Nachteile von persönlichen Firewalls:

Schwierige zentrale Verwaltung
Persönliche Firewalls müssen auf jedem Client konfiguriert werden und erhöhen somit den Verwaltungsaufwand.

Nur grundlegende Steuerungsmöglichkeiten
Die Konfiguration ist meist nur eine Kombination aus statischer Paketfilterung und berechtigungsgestützter Blockierung von Anwendungen.

Leistungsbeschränkungen
Persönliche Firewalls sind zum Schutz eines einzigen PCs ausgelegt. Wird eine solche Firewall auf einem als Router für ein kleines Netzwerk fungierenden Computer eingesetzt, wird die Leistung beeinträchtigt.

Zum SeitenanfangZum Seitenanfang

Klasse 2 - Routerfirewall

Router unterstützen normalerweise mindestens eines der oben beschriebenen Firewallfeatures. Sie können in preisgünstige Geräte für Internetverbindungen und herkömmliche High-End-Router unterteilt werden. Die preisgünstigen Router enthalten grundlegende Firewallfeatures zum Blockieren und Zulassen bestimmter IP-Adressen und Portnummern, und sie verwenden die Netzwerkadressübersetzung zur Geheimhaltung von internen IP-Adressen. Das Firewallfeature ist oft standardmäßig zur Blockierung von Internetattacken optimiert. Eine Konfiguration ist nicht erforderlich, sie können aber durch weitere Konfigurationen verfeinert werden.

High-End-Router können konfiguriert werden, um den Zugriff zusätzlich zu sichern. Offensichtliche Eindringungsversuche (zum Beispiel Pings) können blockiert werden, und mithilfe von ACLs können andere IP-Adressen- und Portbeschränkungen implementiert werden. Einige Router enthalten weitere Firewallfeatures für die Stateful-Paketfilterung. High-End-Router bieten zu einem geringeren Preis, jedoch auch mit geringerem Durchsatz, ähnliche Firewallfunktionen wie Hardwarefirewallgeräte.

Tabelle 2. Klasse 2 - Routerfirewall

FirewallattributWert

Unterstützte grundlegende Features

Die meisten Routerfirewalls unterstützen statische Paketfilter. Preisgünstige Router unterstützen normalerweise die Netzwerkadressübersetzung (NAT). High-End-Router unterstützen möglicherweise die Stateful Inspection und/oder Filterung auf Anwendungsebene.

Konfiguration

Normalerweise automatisch bei preisgünstigen Routern (mit manuellen Optionen). Häufig manuell bei High-End-Routern.

IP-Adressen blockieren oder zulassen

Ja

Protokoll/Portnummern blockieren oder zulassen

Ja

Eingehende ICMP-Meldungen blockieren oder zulassen

Ja

Ausgehenden Zugriff steuern

Ja

Anwendungsschutz

Möglicherweise

Akustische oder visuelle Warnungen

Normalerweise

Protokolldatei für Attacken

In vielen Fällen

Echtzeit-Warnungen

In vielen Fällen

VPN-Unterstützung

Häufig in preisgünstigen Routern, weniger üblich in High-End-Routern. Für diese Aufgabe sind separate dedizierte Geräte oder Server verfügbar.

Remoteverwaltung

Ja

Herstellerunterstützung

Normalerweise beschränkt bei preisgünstigen Routern und gut bei High-End-Routern.

Option für hohe Verfügbarkeit

Preisgünstig: Nein - High-End: Ja

Anzahl von gleichzeitigen Sitzungen

10 - 1000

Modulare Updates (Hardware oder Software)

Preisgünstig: Nein - High-End: Beschränkt

Preisspanne

Niedrig bis Hoch

Routerfirewalls besitzen die folgenden Vor- und Nachteile.

Vorteile

Vorteile von Routerfirewalls:

Kostengünstige Lösung
Durch die Aktivierung eines vorhandenen Routerfirewallfeatures entstehen keine zusätzlichen Kosten für den Router, und zusätzliche Hardware ist nicht erforderlich.

Konfiguration konsolidierbar
Die Routerfirewallkonfiguration kann durchgeführt werden, wenn der Router für den normalen Betrieb konfiguriert ist, wodurch der Verwaltungsaufwand minimiert wird. Diese Lösung eignet sich aufgrund der einfachen Netzwerkhardware und Verwaltung besonders für Zweigstellen.

Investitionsschutz
Da das Personal mit der Konfiguration und Verwaltung der Routerfirewall vertraut ist, ist eine erneute Schulung nicht notwendig. Da keine zusätzliche Hardware installiert wird, ist die Netzwerkverkabelung einfach, und zudem wird die Netzwerkverwaltung vereinfacht.

Nachteile

Nachteile von Routerfirewalls:

Beschränkte Funktionalität
Im Allgemeinen bieten preisgünstige Router nur grundlegende Firewallfeatures. High-End-Router sind normalerweise mit umfassenderen Firewallfeatures ausgestattet, sie erfordern jedoch unter Umständen eine aufwändige Konfiguration. Ein Großteil der Konfiguration besteht aus dem Hinzufügen von Steuerelementen, die leicht vergessen werden können und die korrekte Konfiguration erschweren.

Nur grundlegende Steuerungsmöglichkeiten
Die Konfiguration ist meist nur eine Kombination aus statischer Paketfilterung und berechtigungsgestützter Blockierung von Anwendungen.

Auswirkung auf die Leistung
Die Verwendung eines Routers als Firewall beeinträchtigt die Routerleistung und verlangsamt das Routing, das heißt, die eigentliche Aufgabe des Routers wird vernachlässigt.

Protokolldateileistung
Die Verwendung einer Protokolldatei zum Erfassen ungewöhnlicher Aktivitäten kann die Routerleistung erheblich beeinträchtigen. Dies gilt insbesondere, wenn bereits Attacken stattfinden.

Zum SeitenanfangZum Seitenanfang

Klasse 3 - Preisgünstige Hardwarefirewall

Im unteren Segment des Hardwarefirewall-Markts sind Plug&Play-Einheiten erhältlich, die wenige oder keine Konfiguration erfordern. Diese Geräte enthalten häufig auch Switch- und/oder VPN-Funktionen. Preisgünstige Hardwarefirewalls sind für kleine Unternehmen und die interne Verwendung in größeren Organisationen ausgelegt. Im Allgemeinen enthalten sie Funktionen zur statischen Filterung und grundlegenden Remoteverwaltung. Geräte von größeren Herstellern verwenden mitunter dieselbe Software wie die High-End-Modelle, so dass im Bedarfsfall eine Aktualisierung beziehungsweise Erweiterung möglich ist.

Tabelle 3. Klasse 3 - Preisgünstige Hardwarefirewall

FirewallattributWert

Unterstützte grundlegende Features

Die meisten preisgünstigen Hardwarefirewalls unterstützen statische Paketfilter und die Netzwerkadressübersetzung (NAT). Zudem unterstützen sie zum Teil die Stateful Inspection und/oder Filterung auf Anwendungsebene.

Konfiguration

Automatisch (manuelle Option ebenfalls verfügbar)

IP-Adressen blockieren oder zulassen

Ja

Protokoll/Portnummern blockieren oder zulassen

Ja

Eingehende ICMP-Meldungen blockieren oder zulassen

Ja

Ausgehenden Zugriff steuern

Ja

Anwendungsschutz

Normalerweise nein

Akustische oder visuelle Warnungen

Normalerweise nein

Protokolldatei für Attacken

Normalerweise nein

Echtzeit-Warnungen

Normalerweise nein

VPN-Unterstützung

Manchmal

Remoteverwaltung

Ja

Herstellerunterstützung

Beschränkt

Option für hohe Verfügbarkeit

Normalerweise nein

Anzahl von gleichzeitigen Sitzungen

> 10 - 7500

Modulare Updates (Hardware oder Software)

Beschränkt

Preisspanne

Niedrig

Preisgünstige Hardwarefirewalls besitzen die folgenden Vor- und Nachteile.

Vorteile

Vorteile von preisgünstigen Hardwarefirewalls:

Niedrige Kosten
Preisgünstige Firewalls werden zu niedrigen Preisen angeboten.

Leichte Konfiguration
Es ist nahezu keine Konfiguration erforderlich.

Nachteile

Nachteile von preisgünstigen Hardwarefirewalls:

Beschränkte Funktionalität
Im Allgemeinen bieten preisgünstige Hardwarefirewalls nur grundlegende Firewallfunktionen. Sie können nicht zum Bereitstellen einer redundanten Konfiguration parallel betrieben werden.

Geringer Durchsatz
Preisgünstige Hardwarefirewalls sind nicht für Verbindungen mit hohem Durchsatz ausgelegt und können sich daher als Engpass erweisen.

Eingeschränkter Herstellersupport
Da diese Firewalls kostengünstig erhältlich sind, ist die Herstellerunterstützung meist auf E-Mails und/oder Websites beschränkt.

Beschränkte Aktualisierbarkeit
Normalerweise können keine Hardwareupdates angeboten werden, in vielen Fällen sind jedoch regelmäßig Firmwareupdates verfügbar.

Zum SeitenanfangZum Seitenanfang

Klasse 4 - High-End-Hardwarefirewall

Im oberen Segment des Hardwarefirewall-Markts sind für Unternehmen oder Dienstanbieter geeignete Hochleistungsprodukte mit hoher Ausfallsicherheit erhältlich. Diese Produkte bieten meist den besten Schutz, ohne die Netzwerkleistung zu beeinträchtigen.

Ausfallsicherheit kann durch Hinzufügen einer zweiten als Standbyeinheit betriebenen Firewall erreicht werden, die die aktuelle Verbindungstabelle durch automatische Statussynchronisierung verwaltet.

Firewalls sollten in jedem mit dem Internet verbundenen Netzwerk verwendet werden, da Eindringungsversuche ständig stattfinden. DoS-Attacken, Diebstahls- und Datenbeschädigungsversuche werden ständig unternommen. High-End-Hardwarefirewalls sollten für zentrale Niederlassungen und Hauptniederlassungen in Betracht gezogen werden.

Tabelle 4. Klasse 4 - High-End-Hardwarefirewall

FirewallattributWert

Unterstützte grundlegende Features

Die meisten High-End-Hardwarefirewalls unterstützen statische Paketfilter und die Netzwerkadressübersetzung (NAT). Zudem unterstützen sie zum Teil die Stateful Inspection und/oder Filterung auf Anwendungsebene.

Konfiguration

Normalerweise manuell

IP-Adressen blockieren oder zulassen

Ja

Protokoll/Portnummern blockieren oder zulassen

Ja

Eingehende ICMP-Meldungen blockieren oder zulassen

Ja

Ausgehenden Zugriff steuern

Ja

Anwendungsschutz

Potentiell

Akustische oder visuelle Warnungen

Ja

Protokolldatei für Attacken

Ja

Echtzeit-Warnungen

Ja

VPN-Unterstützung

Potentiell

Remoteverwaltung

Ja

Herstellerunterstützung

Gut

Option für hohe Verfügbarkeit

Ja

Anzahl von gleichzeitigen Sitzungen

> 7500 - 500 000

Modulare Updates (Hardware oder Software)

Ja

Preisspanne

Hoch

High-End-Hardwarefirewalls besitzen die folgenden Vor- und Nachteile.

Vorteile

Vorteile von High-End-Hardwarefirewalls:

Hohe Leistung
Hardwarefirewallprodukte dienen einem einzigen Zweck und bieten sowohl ein hohes Maß an Eindringungsblockierung als auch die geringste Leistungsabnahme.

Hohe Verfügbarkeit
High-End-Hardwarefirewalls können miteinander verbunden werden, um optimale Verfügbarkeit und maximalen Lastenausgleich zu gewährleisten.

Modulare Systeme
Sowohl Hardware als auch Software kann gemäß veränderter Anforderungen aktualisiert werden. Hardwareupdates können zusätzliche Ethernet-Ports beinhalten, während Softwareupdates möglicherweise Erkennungsmechanismen für neue Angriffsmethoden enthalten.

Remoteverwaltung
High-End-Hardwarefirewalls enthalten bessere Remoteverwaltungsfunktionen als preisgünstige Modelle.

Ausfallsicherheit
High-End-Hardwarefirewalls sind zum Teil mit Verfügbarkeits- und Ausfallsicherheitsfeatures wie Hot Standby oder Active Standby mit einer zweiten Einheit ausgestattet.

Filterung auf Anwendungsebene
Anders als die preisgünstigen Modelle ermöglichen High-End-Hardwarefirewalls eine Filterung für bekannte Anwendungen auf den Schichten L4, L5, L6 und L7 des OSI-Modells.

Nachteile

Nachteile von High-End-Hardwarefirewalls:

Hohe Kosten
High-End-Hardwarefirewalls sind in der Regel teuer. Obwohl sie bereits ab EUR 80 erhältlich sind, sind die Kosten für eine Unternehmensfirewall erheblich höher, da sich der Preis meist nach der erforderlichen Anzahl von gleichzeitigen Sitzungen, dem Durchsatz und der gewünschten Verfügbarkeit richtet.

Komplexe Konfiguration und Verwaltung
Da High-End-Hardwarefirewalls sehr viel komplexer sind als preisgünstige Firewalls, sind auch die Konfiguration und Verwaltung viel komplexer.

Zum SeitenanfangZum Seitenanfang

Klasse 5 - High-End-Serverfirewall

Für High-End-Server ist eine Vielzahl von Firewallprodukten erhältlich, die einen robusten und schnellen Schutz für standardmäßige Hardware- und Softwaresysteme bereitstellen. Die Vorteile dieser Lösung sind die Verwendung bekannter Hardware und Software (geringeres Inventar), die vereinfachte Schulung und Verwaltung, Zuverlässigkeit und Erweiterungsfähigkeit. Viele der High-End-Hardwarefirewallprodukte werden auf einer Hardware-Plattform gemäß Branchenstandard implementiert, auf der ein Betriebssystem gemäß Branchenstandard (verdeckt) ausgeführt wird. Sie unterscheiden sich hinsichtlich der Technik und Leistung daher nur geringfügig von Serverfirewalls. Da das Betriebssystem jedoch weiterhin sichtbar ist, kann das Serverfirewallfeature aktualisiert und durch Techniken wie Clustering ausfallsicherer gemacht werden.

Da die Serverfirewall ein auf einem gängigen Betriebssystem ausgeführter Server ist, können der Firewall zusätzliche Software, Features und Funktionen unterschiedlicher Hersteller hinzugefügt werden (bei Hardwarefirewalls können nur die Produkte eines Herstellers verwendet werden). Die Vertrautheit mit dem Betriebssystem kann auch die Effektivität des Firewallschutzes verbessern, da bei einigen anderen Klassen umfassende Kenntnisse für die vollständige und korrekte Konfiguration erforderlich sind.

Diese Klasse eignet sich, wenn hohe Investitionen in eine bestimmte Hardware- oder Softwareplattform getätigt wurden, da durch die Verwendung derselben Plattform für die Firewall die Verwaltung vereinfacht wird.

Die Cachefunktion dieser Klasse kann ebenfalls sehr effektiv sein.

Tabelle 5. Klasse 5 - High-End-Serverfirewall

FirewallattributWert

Unterstützte Features

Die meisten High-End-Serverfirewalls unterstützen statische Paketfilter und die Netzwerkadressübersetzung (NAT). Zudem unterstützen sie zum Teil die Stateful Inspection und/oder Filterung auf Anwendungsebene.

Konfiguration

Normalerweise manuell

IP-Adressen blockieren oder zulassen

Ja

Protokoll/Portnummern blockieren oder zulassen

Ja

Eingehende ICMP-Nachrichten blockieren oder zulassen

Ja

Ausgehenden Zugriff steuern

Ja

Anwendungsschutz

Potentiell

Akustische oder visuelle Warnungen

Ja

Protokolldatei für Attacken

Ja

Echtzeit-Warnungen

Ja

VPN-Unterstützung

Potentiell

Remoteverwaltung

Ja

Herstellerunterstützung

Gut

Option für hohe Verfügbarkeit

Ja

Anzahl von gleichzeitigen Sitzungen

>50 000 (in mehreren Netzwerksegmenten)

Modulare Updates (Hardware oder Software)

Ja

Sonstiges

Gängiges Betriebssystem

Preisspanne

Hoch

Serverfirewalls besitzen die folgenden allgemeinen Vor- und Nachteile.

Vorteile

Vorteile von Serverfirewalls:

Hohe Leistung
Bei Ausführung auf einem Server geeigneter Größe bieten diese Firewalls eine hohe Leistung.

Integration und Konsolidierung von Diensten
Serverfirewalls können verschiedene Features des Betriebssystems nutzen. Eine unter Microsoft Windows Server 2003 ausgeführte Firewallsoftware kann z.B. die integrierte Funktion für den Netzwerklastenausgleich des Betriebssystems nutzen. Darüber hinaus kann die Firewall mithilfe der verfügbaren Funktionen des Betriebssystems Windows Server 2003 als VPN-Server eingesetzt werden.

Verfügbarkeit, Ausfallsicherheit und Skalierbarkeit
Da diese Firewall auf standardmäßiger PC-Hardware ausgeführt wird, besitzt sie sämtliche Verfügbarkeits-, Ausfallsicherheits- und Skalierbarkeitsfeatures der jeweiligen PC-Plattform.

Nachteile

Nachteile von Serverfirewalls:

Erfordert hochwertige Hardware
Zum Gewährleisten einer hohen Leistung erfordern die meisten Serverfirewallprodukte Spitzenhardware, das heißt High-End-CPU, -Arbeitsspeicher und -Netzwerkschnittstellen.

Sicherheitsrisiko durch andere Produkte
Da Serverfirewallprodukte auf bekannten Betriebssystemen ausgeführt werden, sind sie den Sicherheitsrisiken im Betriebssystem und in anderer auf dem Server ausgeführter Software ausgesetzt. Obwohl dies auch bei Hardwarefirewalls der Fall ist, sind deren Betriebssysteme Hackern in der Regel weniger bekannt als die meisten Serverbetriebssysteme.

Zum SeitenanfangZum Seitenanfang

Verwendung von Perimeterfirewalls

Eine Perimeterfirewall erfüllt die Anforderungen von Benutzern außerhalb der Organisation. Folgende Benutzertypen werden unterschieden:

Vertrauenswürdige
Mitarbeiter der Organisation, zum Beispiel Arbeitskräfte in Zweigstellen, Remotebenutzer oder Benutzer, die zu Hause arbeiten.

Halb-vertrauenswürdig
Geschäftspartner der Organisation, für die ein höherer Vertrauensgrad gegeben ist als für nicht vertrauenswürdige Benutzer. Der Vertrauensgrad ist bei diesem Benutzertyp jedoch meist niedriger als bei Mitarbeitern der Organisation.

Nicht vertrauenswürdig
Dies sind zum Beispiel Benutzer der öffentlichen Website der Organisation.

Die Perimeterfirewall ist externen Attacken besonders ausgesetzt: Sie muss von einem Hacker durchbrochen werden, damit er weiter in Ihr Netzwerk eindringen kann. Daher ist die Perimeterfirewall häufig das Ziel von Einbruchsversuchen.

An den Systemgrenzen eingesetzte Firewalls sind das Gateway einer Organisation zur äußeren Welt. In vielen großen Organisationen wird eine High-End-Hardwarefirewall oder Serverfirewall implementiert, manche Organisationen verwenden jedoch auch Routerfirewalls. Bei der Auswahl der Firewallklasse für eine Perimeterfirewall müssen mehrere Aspekte beachtet werden. Diese Auswahlkriterien werden in der folgenden Tabelle beschrieben.

Tabelle 6. Kriterien bei der Auswahl der Perimeterfirewallklasse

KriteriumTypische Merkmale einer in dieser Funktion implementierten Firewall

Benötigte Firewallfeatures laut Sicherheitsadministrator

Hier gilt es, zwischen dem erforderlichen Sicherheitsgrad und den Kosten des Features sowie den potentiellen Leistungseinbußen durch eine erhöhte Sicherheit abzuwägen. Während viele Organisationen maximale Sicherheit für eine Perimeterfirewall wünschen, sind andere nicht bereit, die Leistungsverschlechterung in Kauf zu nehmen. Bei einer Website mit sehr hohem Durchsatz, die nicht für den E-Commerce eingesetzt wird, ist zum Beispiel aufgrund des durch die Verwendung von statischen Paketfiltern erzielten höheren Durchsatzes (im Vergleich zu Filtern auf Anwendungsebene) eine niedrigere Sicherheitsstufe möglich.

Ist das Gerät ein dediziertes physisches Gerät, stellt es weitere Funktionen bereit, oder ist es eine logische Firewall auf einem physischen Gerät?

Als Gateway zwischen dem Internet und dem Unternehmensnetzwerk wird die Perimeterfirewall häufig als dediziertes Gerät implementiert, um die Angriffsfläche und Zugänglichkeit von internen Netzwerken im Falle einer Sicherheistverletzung zu minimieren.

Verwaltungsanforderungen für das Gerät gemäß der Verwaltungsarchitektur der Organisation

In den meisten Fällen wird eine Form der Protokollierung verwendet, und in vielen Fällen ist auch ein Ereignisüberwachungsmechanismus erforderlich. Damit das Gerät nicht von böswilligen Benutzern verwaltet werden kann, wird unter Umständen keine Remoteverwaltung, sondern nur die lokale Verwaltung zugelassen.

Durchsatzanforderungen werden meist von den Netzwerk- und Dienstadministratoren innerhalb der Organisationen festgelegt.

Diese Anforderungen variieren je nach Umgebung. Der verfügbare Gesamtnetzwerkdurchsatz wird jedoch durch die Leistung der Geräte- oder Serverhardware und die verwendeten Firewallfeatures bestimmt.

Verfügbarkeitsanforderungen

Der Einsatz als Gateway zum Internet in großen Unternehmen erfordert häufig eine hohe Verfügbarkeit. Dies gilt besonders, wenn eine kommerziell genutzte Website durch eine Perimeterfirewall geschützt wird.

Zum SeitenanfangZum Seitenanfang

Regeln für Perimeterfirewalls

Im Folgenden bezeichnet der Begriff Bastion-Host einen Server im Perimeternetzwerk, der sowohl für interne als auch externe Benutzer Dienste bereitstellt. Bastion-Hosts sind zum Beispiel Webserver und VPN-Server.

Normalerweise müssen für die Perimeterfirewall die folgenden Regeln implementiert sein (standardmäßig oder durch Konfiguration):

Allen nicht explizit zugelassenen Verkehr verweigern

Eingehende Pakete, die vorgeben interne oder Perimeternetzwerk-IP-Quelladresse zu haben,blockieren

Ausgehende Pakete mit externer Quell-IP-Adresse blockieren (Verkehr darf nur von Bastion-Hosts stammen)

UDP-basierte DNS-Abfragen und -Antworten vom DNS-Auflösungsdienst an DNS-Server im Internet zulassen

UDP-basierte DNS-Abfragen und -Antworten von Internet-DNS-Servern an den DNS-Ankündigungsdienst zulassen

Externen UDP-basierten Clients das Abfragen des DNS-Ankündigungsdienstes ermöglichen und Antworten bereitstellen

TCP-basierte DNS-Abfragen und -Antworten von Internet-DNS-Servern an den DNS-Ankündigungsdienst zulassen

Ausgehende E-Mails vom ausgehenden SMTP-Bastion-Host an das Internet zulassen

Eingehende E-Mails vom Internet an den eingehenden SMTP-Bastion-Host zulassen

Aus Proxies stammenden Verkehr von den Proxyservern in das Internet zulassen

Weiterleiten von Proxyantworten aus dem Internet an Proxyserver im Perimeternetzwerk zulassen

Zum SeitenanfangZum Seitenanfang

Hardwareanforderungen

Die Hardwareanforderungen für eine Perimeterfirewall unterscheiden sich bei softwaregestützten und hardwaregestützten Firewalls:

Hardwaregestützte Firewall
Diese Geräte führen meist speziellen Code auf einer kundenspezifischen Hardwareplattform aus. Sie werden normalerweise basierend auf der Anzahl von möglichen Verbindungen und der Komplexität der auszuführenden Software skaliert (der Preis wird ebenfalls anhand dieser Faktoren festgesetzt).

Softwaregestützte Firewalls
Diese Firewalls werden ebenfalls basierend auf der Anzahl von gleichzeitigen Verbindungen und der Komplexität der Firewallsoftware konfiguriert. Die für einen Server erforderliche Prozessorgeschwindigkeit und Arbeitsspeichergröße sowie der benötigte Festplattenspeicher können anhand der Anzahl von unterstützten Verbindungen mit entsprechenden Computern berechnet werden. Sie sollten auch die andere auf dem Firewallserver ausgeführte Software berücksichtigen, zum Beispiel Lastenausgleich- und VPN-Software. Bedenken Sie auch die Methoden zur vertikalen und horizontalen Skalierung der Firewall. Zu diesen Methoden zählen das Erhöhen der Systemleistung durch Hinzufügen zusätzlicher Prozessor-, Arbeitsspeicher- und Netzwerkkarten sowie die Verwendung mehrerer Systeme und eines Lastenausgleichs zur Verteilung der Firewalltask (siehe hierzu den Abschnitt "Skalierbarkeit" in diesem Modul). Einige Produkte nutzen zum Verbessern der Leistung die Vorteile der symmetrischen Multiprozessierung (SMP). Mit dem Netzwerklastenausgleich-Dienst von Windows Server 2003 können für einige softwaregestützte Firewallprodukte die Fehlertoleranz, hohe Verfügbarkeit, Effizienz und Leistung verbessert werden.

Zum SeitenanfangZum Seitenanfang

Firewallverfügbarkeit

Zum Verbessern der Verfügbarkeit kann die Perimeterfirewall als einzelnes Firewallgerät mit redundanten Komponenten oder als redundantes Paar von Firewalls mit Mechanismen für Failover und/oder Lastenausgleich implementiert werden. Die Vor- und Nachteile dieser Optionen werden in den folgenden Unterabschnitten beschrieben.

Einzelne Firewall ohne redundante Komponenten

Abbildung 2 zeigt eine einzelne Firewall ohne redundante Komponenten:

Einzelne Firewall ohne redundante Komponenten

Abbildung 2.
Einzelne Firewall ohne redundante Komponenten

Die Verwendung einer einzelnen Firewall ohne redundante Komponenten besitzt die folgenden Vor- und Nachteile.

Vorteile

Vorteile einer einzelnen Firewall ohne Redundanz:

Niedrige Kosten
Da nur eine Firewall vorhanden ist, sind die Kosten für Hardware und Lizenzen niedrig.

Einfache Verwaltung
Die Verwaltung ist einfach, da nur eine Firewall für den Standort oder das Unternehmen vorhanden ist.

Nur eine Protokollierungsquelle
Die gesamte Verkehrsprotokollierung erfolgt zentral in einem Gerät.

Nachteile

Nachteile einer einzelnen Firewall ohne Redundanz:

Single Point of Failure
Für eingehenden und/oder ausgehenden Internetzugriff besteht das Risiko einer zentralen Schwachstelle.

Möglicher Verkehrsengpass
Eine einzelne Firewall kann sich je nach Anzahl von Verbindungen und erforderlichem Durchsatz als Verkehrsengpass erweisen.

Einzelne Firewall mit redundanten Komponenten

Abbildung 3 zeigt eine einzelne Firewall mit redundanten Komponenten:

Einzelne Firewall mit redundanten Komponenten

Abbildung 3.
Einzelne Firewall mit redundanten Komponenten

Die Verwendung einer einzelnen Firewall mit redundanten Komponenten besitzt die folgenden Vor- und Nachteile.

Vorteile

Vorteile einer einzelnen Firewall mit redundanten Komponenten:

Niedrige Kosten
Da nur eine Firewall vorhanden ist, sind die Kosten für Hardware und Lizenzen niedrig. Die Kosten der redundanten Komponenten, zum Beispiel Netzteil, sind nicht hoch.

Einfache Verwaltung
Die Verwaltung ist einfach, da nur eine Firewall für den Standort oder das Unternehmen vorhanden ist.

Nur eine Protokollierungsquelle
Die gesamte Verkehrsprotokollierung erfolgt zentral in einem Gerät.

Nachteile

Nachteile einer einzelnen Firewall mit redundanten Komponenten:

Single Point of Failure
Je nach Anzahl von redundanten Komponenten kann für eingehenden und/oder ausgehenden Internetzugriff weiterhin das Risiko von einer zentralen Schwachstelle bestehen.

Kosten
Die Kosten sind höher als bei einer Firewall ohne Redundanz, und zum Integrieren der Redundanz ist unter Umständen eine höhere Firewallklasse erforderlich.

Möglicher Verkehrsengpass
Eine einzelne Firewall kann sich je nach Anzahl von Verbindungen und erforderlichem Durchsatz als Verkehrsengpass erweisen.

Fehlertolerante Firewalls

Eine fehlertolerante Firewallgruppe enthält wie in Abbildung 4 dargestellt einen Mechanismus zum Duplizieren jeder Firewall.

Fehlertolerante Firewalls

Abbildung 4.
Fehlertolerante Firewalls

Die Verwendung einer fehlertoleranten Firewallgruppe besitzt die folgenden Vor- und Nachteile.

Vorteile

Vorteile einer fehlertoleranten Firewallgruppe:

Fehlertoleranz
Die Verwendung von Server- oder Gerätepaaren gewährleistet die gewünschte Fehlertoleranz.

Zentrale Protokollierung
Die gesamte Verkehrsprotokollierung erfolgt zentral auf einem Gerätepaar mit guter Verbindung.

Möglichkeit der Statusfreigabe
Firewalls auf dieser Ebene können zum Teil den Sitzungsstatus untereinander freigeben (dies hängt vom Gerätehersteller ab).

Nachteile

Nachteile einer fehlertolerante Firewallgruppe:

Höhere Komplexität
Die Konfiguration und Unterstützung dieses Lösungstyps ist augrund der mehrwegigen Beschaffenheit des Netzwerkverkehrs komplexer.

Komplexe Konfiguration
Die separaten Firewallregeln können bei falscher Konfiguration zu Sicherheitslücken und Unterstützungsproblemen führen.

In den vorhergehenden Szenarios konnte die Firewall hardware- oder softwaregestützt sein. In den obigen Abbildungen dient die Firewall als Gateway zwischen der Organisation und dem Internet, der Grenzrouter ist jedoch außerhalb der Firewall platziert. Da dieser Router Eindringungsversuchen besonders ausgesetzt ist, müssen für ihn ebenfalls bestimmte Firewallfeatures konfiguriert werden. Beschränkte Firewallfunktionen können ohne den vollständigen Satz von Firewallfeatures implementiert werden, wobei dann das Firewallgerät für die Abwehr einer vollständigen Eindringung zuständig ist. Eine weitere Möglichkeit besteht darin, die Firewall ohne eigenständiges Firewallgerät im Router zu konsolidieren.

Fehlertolerante Firewallkonfigurationen

Zum Implementieren einer fehlertoleranten Gruppe von Firewalls (häufig bezeichnet als Cluster) stehen zwei Hauptansätze zur Auswahl. Diese Methoden werden in den folgenden Abschnitten beschrieben.

Fehlertolerante Aktiv/Passiv-Firewallgruppe

In einer fehlertoleranten Aktiv/Passiv-Firewallgruppe verarbeitet ein Gerät den gesamten Verkehr, während das andere Gerät passiv ist. Normalerweise ist eine Konvention vorhanden, über die die beiden Geräte Informationen zur Verfügbarkeit und/oder zum Verbindungsstatus mit Partnerknoten austauschen. Diese Kommunikation wird auch als heartbeat bezeichnet. Jedes System signalisiert diesen Takt mehrmals pro Sekunde dem anderen System, um sicherzustellen, dass der Partnerknoten Verbindungen bearbeitet. Wenn der passive Knoten in einem bestimmten benutzerdefinierten Intervall keinen Takt vom aktiven Knoten empfängt, übernimmt er die aktive Rolle.

Abbildung 5 zeigt eine fehlertolerante Aktiv/Passiv-Firewallgruppe:

Fehlertolerante Aktiv/Passiv-Firewallgruppe

Abbildung 5.
Fehlertolerante Aktiv/Passiv-Firewallgruppe

Die Verwendung einer fehlertoleranten Aktiv/Passiv-Firewallgruppe besitzt die folgenden Vor- und Nachteile.

Vorteile

Vorteile der fehlertoleranten Aktiv/Passiv-Firewallgruppe:

Einfache Konfiguration
Die Einrichtung und Problembehandlung dieser Konfiguration ist einfach, da jeweils nur ein Netzwerkweg aktiv ist.

Vorhersagbare Failoverbelastung
Da die gesamte Verkehrsbelastung bei einem Failover auf den passiven Knoten umgeschaltet wird, kann der vom passiven Knoten zu verarbeitende Verkehr einfach geplant werden.

Nachteile

Nachteile der fehlertoleranten Aktiv/Passiv-Firewallgruppe:

Ineffiziente Konfiguration
Die fehlertolerante Aktiv/Passiv-Firewallgruppe ist ineffizient, da der passive Knoten während des normalen Betriebs keine nützliche Funktion für das Netzwerk liefert.

Fehlertolerante Aktiv/Aktiv-Firewallgruppe

In einer fehlertoleranten Aktiv/Aktiv-Firewallgruppe überwachen mindestens zwei Knoten aktiv alle Anforderungen, die an eine von den Knoten gemeinsam genutzte virtuelle IP-Adresse gesendet werden. Die Belastung wird mittels der Algorithmen des verwendeten Fehlertoleranzmechanismus oder durch eine statische benutzerbasierte Konfiguration zwischen den Knoten verteilt, so dass jeder Knoten gleichzeitig unterschiedlichen Verkehr aktiv filtert. Wenn einer der Knoten ausfällt, wird die zuvor von dem ausgefallenen Knoten verarbeitete Last unter den verbleibenden Knoten verteilt.

Abbildung 6 zeigt eine fehlertolerante Aktiv/Aktiv-Firewallgruppe:

Fehlertolerante Aktiv/Aktiv-Firewallgruppe

Abbildung 6.
Fehlertolerante Aktiv/Aktiv-Firewallgruppe

Die Verwendung einer fehlertoleranten Aktiv/Aktiv-Firewallgruppe besitzt die folgenden Vor- und Nachteile.

Vorteile

Vorteile der fehlertoleranten Aktiv/Aktiv-Firewallgruppe:

Höhere Effizienz
Da beide Firewalls einen Dienst für das Netzwerk bereitstellen, ist diese Konfiguration effizienter als eine fehlertolerante Aktiv/Passiv-Firewallgruppe.

Höherer Durchsatz
Während des normalen Betriebs kann diese Konfiguration ein höheres Verkehrsaufkommen handhaben als die Aktiv/Passiv-Konfiguration, da beide Firewalls gleichzeitig Netzwerkverkehr bearbeiten.

Nachteile

Nachteile der fehlertoleranten Aktiv/Aktiv-Firewallgruppe:

Potenzielle Überlastung
Wenn ein Knoten ausfällt, reichen die Hardwareressourcen der verbleibenden Knoten möglicherweise nicht zum Verarbeiten des gesamten Durchsatzes aus. Dies muss unter Berücksichtigung der wahrscheinlichen Leistungsabnahme bei einer Übernahme der zusätzlichen Arbeitslast durch die verbleibenden Knoten eingeplant werden.

Höhere Komplexität
Da der Netzwerkverkehr über zwei Routen geleitet werden kann, ist die Problembehandlung komplexer.

Zum SeitenanfangZum Seitenanfang

Sicherheit

Die Sicherheit von Firewallprodukten ist von größter Wichtigkeit. Obwohl keine Branchenstandards für die Firewallsicherheit vorliegen, bietet die herstellerunabhängige ICSA (International Computer Security Association) ein Zertifizierungsprogramm zum Testen der Sicherheit von kommerziell erhältlichen Firewallprodukten an. Die ICSA testet viele der heutzutage auf dem Markt verfügbaren Produkte(weitere Informationen finden Sie unter www.icsalabs.com).

Sie müssen sicherstellen, dass eine Firewall den geforderten Sicherheitsstandards entspricht. Eine Möglichkeit, dies zu gewährleisten, ist das Anfordern einer ICSA-Zertifizierung. Darüber hinaus sollten Sie überprüfen, ob für die ausgewählte Firewall ein Erfahrungsgeschichte vorliegt. Im Internet steht Ihnen eine Reihe von Datenbanken zu Sicherheitsrisiken zur Verfügung. In diesen Datenbanken können Sie die bisher für ein Produkt aufgedeckten Schwachstellen und deren Bedeutung nachlesen.

Unglücklicherweise enthalten alle Produkte (hardware- und softwaregestützt) Fehler. Neben der Anzahl und Bedeutung der Fehler eines Produkts sollten Sie auch überprüfen, wie der Hersteller auf aufgedeckte Sicherheitslücken reagiert.

Zum SeitenanfangZum Seitenanfang

Skalierbarkeit

In diesem Abschnitt werden die Skalierbarkeitsanforderungen einer Firewalllösung behandelt. Die Skalierbarkeit von Firewalls richtet sich weitgehend nach den Leistungsmerkmalen des Geräts, und daher sollte möglichst eine Firewall ausgewählt werden, die den in der Praxis zu erwartenden Szenarios angepasst werden kann. Zwei grundlegende Skaliserungsmethoden stehen zur Verfügung. Diese Methoden sind:

Vertikale Skalierung
Unabhängig davon, ob die Firewall ein Hardwaregerät oder eine auf einem Server ausgeführte Software ist, können durch Erhöhen des Arbeitsspeicherplatzes, der CPU-Verarbeitungsleistung und des Netzwerkschnittstellendurchsatzes unterschiedliche Skalierbarkeitsgrade erzielt werden. Für die vertikales Skalierung jedes Gerät oder Servers gilt jedoch ein bestimmtes oberes Limit. Wenn Sie zum Beispiel einen Server mit Sockets für vier CPUs erwerben und mit zwei CPUs beginnen, können Sie maximal zwei weitere CPUs hinzufügen.

Horizontale Skalierung
Nachdem ein Server bis zu seinem Limit vertikal skaliert wurde, wird die horizontale Skalierung eingesetzt. Die meisten Firewalls (hardware- und softwaregestützt) können durch die Verwendung eines Lastenausgleichs skaliert werden. In einem solchen Szenario werden mehrere Server zu einem Cluster zusammengefasst, das von den Clients im Netzwerk als ein Server erkannt wird. Dieses Szenario ist mit dem unter "Firewallverfügbarket" beschriebenen Aktiv/Aktiv-Cluster vergleichbar. Die zum Bereitstellen dieser Funktion verwendete Technologie hängt vom Hersteller ab, zum Teil wird die zuvor beschriebene Methode eingesetzt.

Die vertikale Skalierung von Hardwarefirewalls kann schwierig sein. Einige Hersteller von Hardwarefirewalls bieten jedoch skalierbare Lösungen an, da ihre Geräte für den Betrieb als einzelne Lastenausgleichseinheit gestapelt werden können.

Einige softwaregestützte Firewalls sind für die vertikale Skalierung mittels mehrerer Prozessoren ausgelegt. Die Firewall selbst befasst sich normalerweise nicht mit der vom zugrunde liegenden Betriebssystem gesteuerten Multiprozessierung. Zur vollständigen Nutzung dieser Funktion muss die Firewall jedoch in der Lage sein, die Hardware zu erkennen. Anders als hardwaregestützte Firewalls, für die normalerweise die bei der Herstellung des Geräts definierten Hardwarebeschränkungen gelten, ermöglicht dieser Ansatz die Skalierung mit einzelnen oder redundanten Geräten. Die meisten Firewalls werden basierend auf der vom Gerät unterstützten Anzahl von gleichzeitigen Verbindungen klassifiziert. Hardwaregeräte müssen häufig ausgetauscht werden, wenn die Verbindungsanforderungen die unveränderlichen Spezifikationen des Geräts überschreiten.

Wie zuvor beschrieben, kann ein Fehlertoleranzmechanismus in das Betriebssystem eines Firewallservers integriert werden. Im Fall einer Hardwarefirewall entstehen für die Fehlertoleranz in der Regel zusätzliche Kosten.

Zum SeitenanfangZum Seitenanfang

Leistung

Zum Verbessern der Leistung einer Firewall sind unter anderem die folgenden Technologien verfügbar:

Unterstützung für Gigabit Ethernet/Fiber

Proxy, Reverse-Webproxy und Zwischenspeichern

SSL-Offload-Schnittstellen

IPSec-Offload-Schnittstellen

Für softwaregestützte Firewalls ist jede dieser Technologien von mehreren Herstellern erhältlich, so dass die Kosten niedrig gehalten werden. Ähnliche Drittanbieterlösungen sind zwar mitunter für Hardwaregeräte erhältlich, meistens müssen jedoch die Produkte des Firewallherstellers verwendet werden.

In den folgenden Abschnitten werden die oben genannten Technologien zur Leistungsverbesserung beschrieben.

Unterstützung für Gigabit Ethernet/Fiber

Viele Switches, Router und Firewalls können mit Ethernet Gigabit-Schnittstellen eingesetzt werden, und aufgrund der reduzierten Kosten haben diese Schnittstellen an Beliebtheit gewonnen. Die Wahrscheinlichkeit, dass Schnittstellen in Firewallbereistellungen zu Engpässen werden, wird durch diese Funktion erheblich reduziert.

Proxy, Reverse-Webproxy und Zwischenspeichern

Die Cachefunktion ist normalerweise nur bei softwaregestützten Firewalls verfügbar, da sie die Verwendung eines Datenträgers zum Zwischenspeichern von Verkehr oder Daten erfordert.

SSL-Offload-Schnittstellen

SSL-Beschleunigerkarten können die Leistung von öffentlichen Websites mit SSL-basierter Verschlüsselung verbessern, indem sie die Verschlüsselungsverarbeitung übernehmen und somit die Firewall-CPU entlasten. Wenn SSL an der Firewall endet, bieten diese Geräte erhebliche Vorteile.

IPSec-Offload-Schnittstellen

IPSec-Beschleunigerkarten können die Leistung von öffentlichen Diensten mit IPSec-basierter Verschlüsselung wie VPN verbessern. Diese Geräte übernehmen die Verschlüsselungsverarbeitung, von der Firewall-CPU. IPSec-Offloading kann für Verkehr zwischen der internen Schnittstelle der Firewall und einem veröffentlichten Dienst verwendet werden, um sicherzustellen, dass der Verkehr durch das Perimeternetzwerk zwischen den Perimeternetzwerkhosts verschlüsselt wird.

Zum SeitenanfangZum Seitenanfang

Konsolidierung

Unter Konsolidierung ist die Integration des Firewalldienstes in ein anderes Gerät oder die Integration anderer Dienste in die Firewall zu verstehen. Die Konsolidierung bietet folgende Vorteile:

Niedrigerer Kaufpreis
Durch die Integration des Firewalldienstes in einen anderen Dienst, zum Beispiel einen Router, können Sie die Kosten für ein Hardwaregerät einsparen, Sie müssen jedoch die Firewallsoftware erwerben. Desgleichen können Sie durch die Integration anderer Dienste in die Firewall Kosten für zusätzliche Hardware einsparen.

Reduziertes Inventar und niedrigere Verwaltungskosten
Durch die Reduktion der Anzahl von Hardwaregeräten können Sie die Betriebskosten senken: Weniger Hardwareaktualisierungen sind erforderlich, die Verkabelung ist einfacher, und die Verwaltung ist unkomplizierter.

Höhere Leistung
Die Leistung kann je nach erreichter Konsolidierung verbessert werden. Wenn Sie zum Beispiel einen Webservercache in die Firewall integrieren, können Sie auf zusätzliche Geräte verzichten, und die Dienste können schneller miteinander kommunizieren als über ein Ethernet-Kabel.

Konsolidierungsbeispiele:

Hinzufügen von Firewalldiensten zum Grenzrouter
In den meisten Routern ist ein Firewalldienst verfügbar. Bei preisgünstigen Routern können die Funktionen dieses Firewalldienstes sehr einfach sein, High-End-Router enthalten jedoch meist einen sehr leistungsstarken Firewalldienst. In der Praxis sollte der Firewalldienst im Grenzrouter auch bei Verwendung einer separaten Perimeterfirewall immer aktiv sein, um den Router selbst und den Grenzswitch zu schützen.

Hinzufügen von Firewalldiensten zum Grenzswitch
Abhängig vom ausgewählten Grenzswitch ist es unter Umständen möglich, die Perimeterfirewall in den Switch zu integrieren, um die Kosten zu senken und die Leistung zu verbessern.

Hinzufügen eines Proxycache zur Perimeterfirewall
In einem Proxycache werden häufig aufgerufene Webseiten gespeichert, so dass diese bei der nächsten Anforderung aus dem Cache abgerufen werden können, anstatt erneut auf den Webserver zuzugreifen. Hierdurch werden die Antwortzeiten verbessert, und die Webserverbelastung wird reduziert. Da ein solcher Cache eine lokale Festplatte erfordert, ist diese Option im Allgemeinen nur für Serverfirewalls verfügbar.

Wenn Sie die Konsolidierung anderer Dienste im Server beziehungsweise Gerät mit dem Firewalldienst in Erwägung ziehen, müssen Sie sicherstellen, dass die Verfügbarkeit, Sicherheit, Verwaltung und Leistung der Firewall dadurch nicht gefährdet werden. Die Leistung ist in diesem Zusammenhang ebenfalls von Bedeutung, da die von zusätzlichen Diensten erzeugte Belastung die Leistung des Firewalldienstes beeinträchtigt.

Ein anderer Ansatz zum Konsolidieren von Diensten in dem Gerät oder Server mit dem Firewalldienst besteht darin, ein Firewallhardwaregerät in einem Switch zu konsolidieren. Dieser Ansatz ist in der Regel kostengünstiger als eine eigenständige Firewall, und die Verfügbarkeitsfeatures des Switches können genutzt werden, z.B. doppelte Stromversorgung. Zudem ist die Verwaltung einer solchen Konfiguration einfacher, da es sich nicht um ein separates Gerät handelt. Durch die Verwendung des Switchbusses, der viel schneller ist als eine externe Verkabelung, ermöglicht diese Konfiguration meist auch höhere Verarbeitungsgeschwindigkeiten.

Zum SeitenanfangZum Seitenanfang

Standards und Richtlinien

Die meisten mit Version 4 des Internetprotokolls (IPv4) arbeitenden Internetprotokolle können durch eine Firewall geschützt werden. Hierzu zählen einfachere Protokolle wie TCP und UDP und erweiterte Protokolle wie HTTP, SMTP und FTP. Stellen Sie bei jedem zur Auswahl stehenden Firewallprodukt sicher, dass es den erforderlichen Verkehrstyp unterstützt. Einige Firewalls können auch GRE interpretieren, das in einigen VPN-Implementierungen verwendete Verkapselungsprotokoll für das Point-to-Point Tunneling-Protokoll (PPTP).

Einige Firewalls verfügen über integrierte Filter auf Anwendungsebene für Protokolle wie HTTP, SSL, DNS, FTP, SOCKS v4, RPC, SMTP, H. 323 und POP (Post Office Protocol).

Zum SeitenanfangZum Seitenanfang

Zusammenfassung

In diesem Modul haben Sie praktische Anweisungen zur Auswahl von geeigneten Firewallprodukten erhalten. Die hier beschriebene Vorgehensweise umfasst alle Aspekte des Firewallentwurfs, einschließlich der verschiedenen Auswertungs- und Klassifizierungsprozesse für die Auswahl einer Lösung.

Keine Firewall ist 100% sicher: Wenn Sie externe elektronische Attacken auf Ihr Netzwerk vollständig ausschließen möchten, müssen Sie das Netzwerk von allen anderen Systemen und Netzwerken trennen. Das Ergebnis wäre ein nicht verwendbares, dafür aber sicheres Netzwerk. Firewalls ermöglichen die Implementierung einer geeigneten Sicherheitsschutzstufe, wenn das Netzwerk mit einem externen Netzwerk verbunden wird oder zwei interne Netzwerke verbunden werden.

Die in diesem Modul vorgestellten Firewallstrategien und Entwurfsprozesse stellen nur einen Teil der gesamten Sicherheitsstrategie dar: Auch die stärkste Firewall ist nur von geringem Nutzen, wenn andere Teile der Umgebung Sicherheitslücken aufweisen. Sicherheit muss auf jede Komponente des Netzwerks angewendet werden, und für jede Komponente müssen Sicherheitsrichtlinien für die in der Umgebung vorherrschenden Risiken definiert werden.

Zum SeitenanfangZum Seitenanfang

Quellen

Weitere Informationen zum Entwurf und zur Bereitstellung von Diensten erhalten Sie unter den folgenden URLs.

Ausführliche Sicherheitsinformationen zu Microsoft Windows Server 2003 finden Sie im Dokument "Windows Server 2003 Security Center": http://www.microsoft.com/technet/security/prodtech/WindowsServer2003.mspx

Informationen zur Microsoft ISA-Serverfirewall und Webproxyprodukten finden Sie unter: http://www.microsoft.com/isaserver/

Ein kostenloser E-Mail-Benachrichtigungsdienst, über den Microsoft Informationen zur Sicherheit von Microsoft-Produkten an Abonnenten sendet, steht Ihnen auf der Sicherheitsbenachrichtigungsdienst-Website von Microsoft zu Verfügung: /germany/technet/datenbank/articles/430926.mspx

Die Sicherheitsressourcen des SANS-Instituts (SysAdmin, Audit, Network and Security) stehen Ihnen unter folgender Adresse zur Verfügung: http://www.sans.org

Die CERT-Organisation (Computer Emergency Response Team) erfasst und veröffentlicht Sicherheitswarnungen und stellt unter der folgenden Adresse ein Center für Sicherheitsinformationen bereit: http://www.cert.org


Zum SeitenanfangZum Seitenanfang