Firewll Tipps zur Entscheidung

 

Stateless Firewalls sind häufig auch in den Home-Routern zu finden, die von privaten Anwendern genutzt werden. Sie eignen sich aber ebenso für kleinere Unternehmen mit begrenzten Budgets und relativ wenig Traffic, der verarbeitet werden muss. Weniger Datenverkehr bedeutet meist, dass auch weniger Bedrohungen erkannt werden müssen. Dadurch wird das Erstellen der Regeln für eine Stateless Firewall zu einer vergleichsweise überschaubaren Aufgabe. Stateless Firewalls werden aber oft auch in internen Netzwerken in besonderen Szenarien eingesetzt. Ein Beispiel dafür sind etwa die Abgrenzungen zwischen virtuellen LANs (VLANs). Bei größeren Unternehmen, die mehr Traffic managen müssen, sieht es jedoch anders aus. Hier bieten Stateful Firewalls mehr Sicherheitsfunktionen und weit mehr Fähigkeiten. Wenn ein Unternehmen allerdings zahlreiche moderne Applikationen einsetzt, die mehr als einen einzigen Port für ihre unterschiedlichen Dienste verwenden oder ihren Port öfter ändern, dann sollte eine Next-Generation Firewall (NGFW) in die Überlegungen mit einbezogen werden. Diese Sicherheitslösungen konzentrieren sich auf die Inspektion der Anwendungen und nicht nur auf die Verbindungen im Netzwerk. n

 

Wenn Sie eine Strategie entwickeln, um den Perimeter des Unternehmens zu schützen, lautet eine der wichtigsten Fragen: „Wo soll ich die Firewall platzieren, damit sie am wirksamsten ist?“ In diesem Beitrag sehen wir uns die drei grundlegenden Möglichkeiten genauer an und analysieren die Szenarien, die sich für den jeweiligen Fall am besten eignen. Bevor wir beginnen, möchten wir Sie darauf hinweisen, dass sich dieser Beitrag lediglich mit der Platzierung der Firewall befasst. Planen Sie eine Strategie zum Schutz des Unternehmens, sollten Sie mit einer sogenannten Defense-in-Depth-Herangehensweise (gestaffelter Schutz) arbeiten. In diesem Fall verwenden Sie mehrere Security-Geräte. Dazu gehören Firewalls, Border-Router mit Paketfiltern und Intrusion Detection Systems (IDS).

Möglichkeit 1: Bastion-Host

Die erste und einfachste Option ist die Verwendung eines sogenannten Bastion-Hosts. In diesem Szenario sitzt die Firewall zwischen dem Internet und dem geschützten Netzwerk. Sie filtert allen Traffic, der in das Netzwerk eindringt oder es verlässt. Die Topologie Bastion-Host eignet sich hervorragend für relativ simple Netzwerke. Das gilt zum Beispiel für solche, die keine öffentlichen Internetservices anbieten. Sie sollten aber den entscheidenden Aspekt nicht aus den Augen verlieren. An dieser Stelle gibt es nur eine Grenze. Sobald jemand diese Grenze durchbricht, hat er uneingeschränkten Zugriff auf das geschützte Netzwerk. Das gilt zumindest aus Sicht des Schutzes für das Perimeter. Das ist vielleicht akzeptabel, wenn Sie die Firewall lediglich dazu nutzen, ein Unternehmensnetzwerk zu schützen, das in erster Linie zum Surfen im Internet verwendet wird. Hosten Sie allerdings eine Website oder einen E-Mail-Server, dann ist dieser Ansatz wahrscheinlich nicht ausreichend.

Möglichkeit 2:

abgeschirmtes Subnetz (Screened Subnet) Die zweite Option ist ein abgeschirmtes Subnetz. Diese Option bietet einige Vorteile gegenüber der Herangehensweise mit einem Bastion-Host. Die Architektur sieht eine einzelne Firewall mit drei Netzwerkkarten vor. Man nennt das auch eine Triple Homed Firewall. Eine Netzwerkschnittstelle stellt den Zugang zum Internet zur Verfügung, eine ist für die DMZ gedacht und eine weitere für das Intranet. Das abgeschirmte Subnetz stellt eine Lösung bereit, mit der ein Unternehmen Internetanwendern auf sichere Weise Services anbieten kann. Jeglicher Server, der öffentliche Services bedient, wird in der DMZ platziert. Diese ist vom Internet und von dem vertrauenswürdigen Netzwerk durch die Firewall separiert. Wenn ein böswilliger Nutzer Anstrengungen unternimmt, die Firewall zu kompromittieren, hat er bei Erfolg noch keinen Zugriff auf das Intranet. Wir gehen an dieser Stelle davon aus, dass die Firewall angemessen konfiguriert ist.

 

Möglichkeit 3:

 

doppelte Firewall (Dual Firewall) Die sicherste, aber auch teuerste Variante ist es, ein abgeschirmtes Netzwerk mithilfe zweier Firewalls zu kreieren. In diesem Fall ist die DMZ zwischen den beiden Firewalls platziert, also zwischen der für den Internetzugang und der zum Intranet. Verwendet Ihr Unternehmen zwei Firewalls, kann es Internetanwendern weiterhin Services durch eine DMZ anbieten. Es gibt allerdings eine zusätzliche Schutzschicht. IT-Sicherheitsarchitekten verwenden dieses Schema sehr gerne und benutzen dabei Firewalls von zwei unterschiedlichen Anbietern. Sollte ein Cyberkrimineller eine spezifische Schwachstelle in der Software finden, die sich ausnutzen lässt, gibt es an dieser Stelle eine weitere digitale Brandschutzmauer. Highend-Firewalls erlauben zudem einige Variationen. Einfache Firewalls haben manchmal ein Limit von drei bis vier Schnittstellen. Die hochwertigere Verwandtschaft erlaubt den Einsatz einer großen Anzahl an physischen und virtuellen Schnittstellen. So sind beispielsweise über 20 physische Schnittstellen möglich. Mit VLANs können Sie noch zusätzliche virtuelle Interfaces hinzufügen. Was bedeutet das für Sie? Wenn Sie eine größere Anzahl an Schnittstellen haben, dann können Sie viele verschiedene Sicherheitszonen in Ihrem Netzwerk errichten. Möglicherweise gibt es bei Ihnen dann eine ähnliche Konfiguration der Schnittstellen wie diese hier:

• Zone 1: Internet;
• Zone 2: eingeschränkte Workstations;
• Zone 3: allgemeine Workstations;
• Zone 4: öffentliche DMZ;
• Zone 5: interne DMZ;
• Zone 6: wichtige Server.

 

Dieser Architekturtyp erlaubt es, alle drei oben beschriebenen Topologien einzusetzen. Somit sind Sie an dieser Stelle enorm flexibel.