Sicher ist sicher: Wie Firewalls vor Netzwerkangriffen schützen sollen

Firewalls besitzen die primäre Aufgabe unerwünschte Zugriffe auf die zu schützenden (lokalen) Netzwerke zu verhindern. Dabei werden solche Systeme grundsätzlich an zwei verschiedenen Stellen in der IT-Infrastruktur eingesetzt.

Unterschieden wird zwischen Personal Firewalls und Netzwerkfirewalls:

• Personal Firewalls sind am Endgerät (PC, Notebook, Tablet, usw.) installiert
• Netzwerkfirewalls werden an der Grenze zwischen dem internen Netzwerkbereich (LAN) und dem öffentlichen Netzwerkbereich (WAN) verwendet. Netzwerkfirewalls kontrollieren also an einer zentralen Stelle den gesamten Datenverkehr zwischen internen und externen Netzen, wie z.B. dem Internet.

Mittlerweile überprüfen Firewall-Lösungen weitaus mehr als die ursprünglichen Paketfilterfirewalls, die nach Quelle, Ziel und dem verwendeten Protokoll oder Dienst den Netzwerkdatenverkehr zugelassen, blockiert oder verworfen haben. Sie analysieren die Datenpakete ganz genau, um Schadsoftware zu erkennen und zu blockieren. Immer häufigere und auch komplexere Angriffe auf Unternehmen zeigen, warum dedizierte Firewalls mit umfangreichen Schutz- und Protokollierungsmöglichkeiten enorm wichtig sind. Denn kommen Angreifer erst einmal in das Netzwerk des Opfers, so ist der Schaden oftmals immens!

Eine schon länger und dennoch weiterhin häufig eingesetzte Angriffsmethode auf Netzwerke bzw. deren Serversysteme sind DoS- (Denial of Service) bzw. DDoS-Attacken (Distributed Denial of Service). Ziel dieser Angriffe ist es, einen bestimmten Dienst oder Server durch eine sehr hohe Anzahl von Anfragen zum Erliegen zu bringen. Bei DoS-Attaken wird ein Computer zum Versenden der permanenten Anfragen auf das Zielsystem verwendet, während bei DDoS viele verschiedene Systeme das betroffene Ziel lahmlegen. Weitere Bedrohungen stellen Viren, Würmer und Trojanische Pferde dar. Diese gehören zur Klasse der Malware, also Schadsoftware, die unter anderem zu Datendiebstahl und Datenverlust führen kann. In scheinbar harmlosen Programmen oder Skripten befindet sich ein eingebetteter, bösartiger Code. Sobald dieser einmal ausgeführt wurde, gilt das Endgerät als infiziert und im Hintergrund beginnt die Schadsoftware sensible Daten (wie Passwörter, Adressdaten, Kontodaten, etc.) mitzulesen.
Eine besonders in den letzten Jahren stark populär gewordene Angriffsart ist das Einschleusen von Ransomware. Diese lässt sich als Verschlüsselungstrojaner beschreiben und blockiert meist den kompletten Zugriff auf das eingenommene System, indem sämtliche Daten verschlüsselt werden. Die Angreifer erpressen die Betroffenen häufig mit einer Lösegeldforderung, um den Zugriff auf das System wiederzuerlangen. Jedoch stellt eine solche Zahlung keine Garantie dar, dass die Nutzerdaten anschließend wieder entschlüsselt werden!

Um das Schutzniveau gegen solche unerwünschten Zugriffe bzw. Attacken zu erhöhen, spielen Firewalls eine große Rolle. Besonders Next-Generation Firewalls können zur besseren Abwehr der beschriebenen Angriffe beitragen. Das heißt, dass die Datenpakete bis ins Detail analysiert werden, sodass auch bei vermeintlich harmlosen Traffic mögliche Schadsoftware erkannt und blockiert werden kann. Dazu setzen Hersteller mitunter folgende Schutzmechanismen ein:

• Deep Packet Inspection (DPI)
  Die DPI untersucht die Datenpakete bis auf Layer 7 des ISO/OSI-Referenzmodells. So wird auch der Nutzdatenteil überprüft, in dem potenzieller Schadcode enthalten sein kann.
• Intrusion Detection System (IDS) bzw. Intrusion Prevention System (IPS)
  Auffälligkeiten oder Bedrohungen wie zum Beispiel Anzeichen einer DoS-Attacke im Netzwerkdatenverkehr, sollen durch diese Systeme nicht nur erkannt werden, sondern auch direkt durch automatische Gegenmaßnahmen (z. B. sofortiges Kappen der Verbindung) bekämpft werden.
• HTTPs-Inspection
  Durch den sehr stark angestiegenen Anteil an verschlüsseltem Webtraffic durch https-Verbindungen, mussten auch Firewalls in der Lage sein diesen auf etwaige Gefahren für das Netzwerk zu überprüfen. Dazu bieten moderne Firewall-Lösungen die Möglichkeit als eigene Zertifizierungsstelle (CA) zu fungieren. Damit wird der durchlaufende Datenverkehr entschlüsselt, analysiert und schließlich wieder verschlüsselt und weitergeleitet.
• Sandboxing
  Die Sandboxmethode dient dazu, ausführbare Dateien in einer isolierten Umgebung zu testen. So können mögliche Bedrohungen durch z.B. versteckte Malware aufgedeckt werden, bevor diese in der produktiven Systemumgebung zur Verfügung gestellt werden.

Darüber hinaus bieten Next-Generation Firewalls heutzutage auch Funktionen wie Spamfilter, Quality of Service Richtlinien oder auch anwendungs- oder benutzerspezifische Filtermöglichkeiten. Je nach Bedarf lassen sich so unterschiedliche Module zusammenstellen und, angepasst an das angestrebte Schutzniveau, aktivieren.