Firewall Einsatz
Firewall Einsatz
Unternehmen setzten Firewalls traditionell als erste Verteidigungslinie ein, um ihre Ressourcen vor Bedrohungen aus dem Internet zu schützen. Die Bezeichnung Firewall für das Filtern von unerwünschtem Netzwerkverkehr kam um das Jahr 1987 auf. Den Begriff soll Steven M. Bellovin von AT&T geprägt haben. Die Bezeichnung wählte er als Metapher, die Firewalls mit Trennwänden oder Brandschutzmauern vergleicht, die verhindern, dass ein Feuer von einem Teil eines Gebäudes zum anderen überspringt. Im Fall von Netzwerken war das Ziel, einen Torwächter zwischen dem scheinbar sicheren internen Netzwerk und jeglichem Verkehr einzufügen, der über die Verbindung dieses Netzwerks mit dem Internet ein- oder ausgeht. Firewalls wurden schon oft totgesagt, weil andere Technologien sie ersetzen sollten. Seit 1987 haben die Firewalls aber eine stetige Entwicklung durchgemacht: von der ersten paketfilternden Firewall an Knotenpunkten und Geräten wie Routern und Switches bis hin zur Next-Generation Firewall, die Paketinspektion mit Stateful Inspection kombiniert und Deep Packet Inspection (DPI) integriert.
Um die richtige Firewall zu finden, sie korrekt zu platzieren und optimal zu konfigurieren, benötigen Administratoren detailliertes Grundwissen zu den unterschiedlichen Typen und deren Funktionsweise. Diese E-Handbook liefert nicht nur Einsteigern in die Materie die notwendigen Grundlagen.
Firewall-Einsatzszenarien
Firewall-Einsatzszenarien Unternehmen setzen bei Firewalls meist auf ein Konzept der geteilten Architektur. Über das Internet zugängliche Server werden strikt von anderen unternehmenseigenen Ressourcen getrennt.
I n den meisten Einsatzszenarien fungieren Firewalls als eine Art Torwächter: Sie beschränken den Zugriff über das Internet auf genau diejenigen Dienste, die das Unternehmen für erforderlich hält. Auf der untersten Ebene erfolgt die Steuerung des Zugriffs zum einem über Regeln für die Unternehmensressourcen und zum anderen in Abhängigkeit von dem Dienst, auf den von einem bestimmten Standort aus zugegriffen werden soll. Beide Arten von Regeln werden auf der Grundlage der Funktion der Unternehmensressource festgelegt.
Dabei sind Unternehmen bislang zumeist einem Konzept der geteilten Architektur gefolgt:
Über das Internet zugängliche Server wurden strikt von unternehmenseigenen Assets getrennt, die sich in einem speziell isolierten Netzwerksegment befanden. Dieses Segment wird üblicherweise als Demilitarized Zone, kurz DMZ (englisch für entmilitarisierte Zone), bezeichnet. Die Isolierung wird erreicht, indem diesen Servern eine Netzwerkschnittstelle der Firewall zugewiesen wird. Der direkte Zugriff auf Ressourcen außerhalb derer, die in der DMZ gehostet werden, ist nicht gestattet. Zu diesen Ressourcen gehören in der Regel Workstations, kritische Serverkomponenten wie DomänenController, E-Mail-Server und Geschäftsanwendungen. Zu den Ressourcen, die im DMZ-Segment gehostet werden, zählen typischerweise Anwendungen, auf die über das Internet zugegriffen werden kann, wie Webschnittstellen, Mail-Exchange, Mail-Relays und öffentliche Cloud-Speicher, um nur einige zu nennen. Der Zugriff zwischen Anlagen in der DMZ und Unternehmenssegmenten wird streng kontrolliert. Vergleicht man diese Architektur mit der gehosteten Umgebung für Unternehmen, wird man beim Umgang mit Zugriffssteuerung viele Parallelen feststellen.
Ein Beispiel für eine gehostete Umgebung wäre die E-Commerce-Plattform eines Unternehmens, die von einem Drittanbieter betrieben wird. Bei solchen Einsatzszenarien werden die Web-Heads (Webserver mit dreistufiger Architektur aus Webserver, Anwendungsserver und Datenbankserver) typischerweise in einem DMZ-Segment gehostet. In Umgebungen mit hohem Verkehrsaufkommen sorgt ein Load Balancer bei sämtlichen Verbindungsübergaben von der Internetschnittstelle der Firewall für einen Lastenausgleich, indem er den Verkehr zum jeweils am wenigsten belasteten
Webserver leitet. Die Anwendungs- und Datenserver werden auf separaten Segmenten gehostet. Der Zugriff zwischen den Web-, Anwendungs- und Datenbankschichten wird durch Zugriffsregeln beschränkt. In beiden Umgebungen dient die Firewall als erste Verteidigungslinie. Sie steuert, welche Ressourcen zugänglich sind, und sorgt zugleich für einen rudimentären Schutz vor Angriffen auf Netzwerkebene. In dieser ursprünglichen Form bietet eine Firewall jedoch nicht genügend Schutz vor einigen weitreichenden Bedrohungen. Diese sind in der Regel auf Schwachstellen innerhalb der Anwendungsschicht (Layer 7) gerichtet, nicht auf die Netzwerkschicht (Layer 3), für deren Schutz die herkömmlichen Firewalls gedacht sind. Um auch diese Bedrohungen in den Griff zu bekommen, wurden die konventionellen Firewall-Produkte in Unternehmen und bei gehosteten Diensten durch Produkte ergänzt, die speziell gegen Angriffe auf Anwendungsebene und Malware-Bedrohungen ausgerichtet sind. Nachfolgend untersuchen wir einige Einsatzszenarien für Firewalls, die Angriffe auf Anwendungen und durch neuartige Malware vereiteln sollen. Firewalls zur Überwachung des ausgehenden Datenverkehrs In Unternehmensumgebungen, in denen Firewalls Zugriffe in die Umgebungen hinein und aus ihnen heraus steuern, werden ausgehende Webzugriffe meist ohne Weiteres zugelassen. Dadurch wird das Unternehmen anfällig für clientseitige Malware-Angriffe, die auf den Browser des Benutzers abzielen. Um dieser Bedrohung entgegenzuwirken, wurden die meisten herkömmlichen Firewall-Produkte durch Funktionen zur Verwaltung des Internetzugriffs (Inline oder Proxy-basiert) erweitert, die speziell den ausgehenden Zugriff überwachen. Grund dafür ist die Tatsache, dass eine Firewall zwar die Ports kontrollieren kann, auf die ein Benutzer aus einem Unternehmen heraus Zugriff hat. Eine hinreichende Kontrolle der Inhalte, auf die zugegriffen wird, kann sie aber nicht leisten. Da Exploits auf der Clientseite eine große Bedrohung für Unternehmen darstellen, ist ein solcher aktualisierter Schutz von entscheidender Bedeutung.
Inhaltsanalysen auf Anwendungsebene Die klassischen Firewall-Anbieter haben auch Appliances im Angebot, bei denen Inhaltsanalysen auf Anwendungsebene mit einem Virenschutz kombiniert sind – sie bieten also Malware-Erkennung und traditionelle
Firewall-Funktionalität im selben Gehäuse. Abgesehen davon, dass sie den Verkehr auf bösartige Inhalte überwachen, sperren diese Geräte auch den Zugriff auf Webseiten mit fragwürdigen Inhalten. Natürlich sollten sie nicht als Ersatz für die herkömmlichen Host-basierten Schutzmechanismen (wie Antivirus- oder Antispam-Software oder Lösungen für die Endpunktsicherheit) angesehen werden.