Firewalls – Stärken verschiedener Systeme kombinieren

Firewalls – Stärken verschiedener Systeme kombinieren

"Eine Firewall ist ein Sicherungssystem, das ein Netzwerk oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt", liest man bei Wikipedia. "Sie überwacht laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden."

Stellen wir uns eine Firewall – etwas vereinfacht – so vor wie einen Zollbeamten an der Grenze, damals als man noch seinen Ausweis vorzeigen musste, wenn man mit dem Wagen in europäische Nachbarländer fuhr. Manche dieser Beamten haben einen damals freundlich angelächelt und einfach durchgewinkt. Eine Firewall, die so mit Netzwerkpaketen verfährt, wäre unwirksam und hätte ihren Namen nicht verdient. Sie würde ihrer Schutzfunktion nicht gerecht.

Wirksam ist eine Grenzkontrolle nur, wenn erst einmal die Schranke am Zollhäuschen heruntergeht, man anhalten und sich ausweisen muss. Noch sicherer wird es, wenn die Beamten den Kofferraum öffnen lassen und ganz genau nachschauen, ob man nicht doch etwas Unerlaubtes über die Grenze schaffen will. So eine umfassende Kontrolle kann im übertragenen Sinne auch auf Netzwerkverkehr angewendet werden:  Datenpakete, die aus dem Internet kommen und ins lokale Netzwerk – Ihr Heimnetzwerk oder ein Firmennetz – wollen, würden dann unter verschiedenen Gesichtspunkten untersucht. So würden ungewollte Zugriffe auf Netzwerkdienste sicher unterbunden.

Für eine umfassende Prüfung von Datenverkehr ist es von Vorteil, wenn eine Firewall nicht nur aus einer Komponente besteht, sondern mehrere Systeme beinhaltet. Einen deutlichen Zuwachs an Sicherheit bietet eine Kombinationen aus einem Paketfilter und einem Application Level Gateway. Schauen wir uns diese beiden unterschiedlichen Firewall-Systeme einmal grundsätzlich an, ohne zu sehr ins Detail zu gehen.

Paketfilter

Ein Paketfilter (PFL) überprüft einzelne Datenpakete anhand formaler Kriterien, also Regeln, die ein Systemadministrator zuvor in eine entsprechende Tabelle eingetragen hat. Geprüft werden Quelladressen, Zieladressen, Portnummern sowie die Richtung des Datenverkehrs. Je nach Regelvorgabe werden die Pakete dann ohne weitere Prüfung weitergeleitet oder blockiert. Vergleichbar ist dieses Vorgehen mit einem Zollbeamten, der den Reisenden daraufhin untersucht, wo er herkommt, wo er hin will und was er hinter den Grenze machen möchte. Der Beamte würde diese Fragen mit einer Checkliste klären und dann entscheiden, ob er den Reisenden weiterfahren lässt oder abweist. Er würde keine Ausnahmen machen – egal was passiert. Der Vorteil einer solchen Prüfung ist, dass sie einfach und schnell durchführbar ist und wenig Ressourcen beansprucht. Aber Sie ahnen es schon, hier bleiben einige Aspekte unberücksichtigt, wenn man die Daten bedenkt, die heute im Umlauf sind: Der Textinhalt einer E-Mail und deren Dateianhang lassen sich zum Beispiel auf diese Weise nicht überprüfen. Aber hier springt eine andere Lösung ein, das Application Level Gateway.

Application Level Gateway

Ein Application Level Gateway (ALG) prüft den Inhalt des Datenstroms. Dazu werden die ankommenden Datenpakete zunächst gestoppt – das Application Level Gateway lässt keine durchgehende Verbindung zwischen Internet und lokalem Netz zu. Dann setzt es die einzelnen Pakete wie ein Puzzle zusammen, denn nur anhand kompletter Datensätze ist eine inhaltliche Prüfung möglich. Jetzt wird mit spezieller Prüfsoftware gefiltert und je nach individueller Konfiguration unerwünschte und gefährliche Daten wie aktiver Content, Viren oder auch Spam zuverlässig abgeblockt. Erst anschließend werden die Daten über eine neue Verbindung weitergeleitet. Wieder bei unserem Zollbeamten, würde dieser nicht nur den Kofferraum Ihres Autos öffnen, sondern sich auch den Inhalt Ihres Anhängers anschauen, bevor er Ihnen erlauben würde, die Reise fortzusetzen.

Produktbild: zweistufige Firewall genugateDie zweistufige Firewall genugate mit ALG und PFL unterzieht Daten einer gründlichen Kontrolle

Also ganz schön gründlich, denken Sie vielleicht. Nimmt man jedoch die Arbeitsweise eines ALGs ganz genau unter die Lupe und überträgt sie auf unsere Situation am Grenzübergang, ginge der Zollbeamte sogar noch einen Schritt weiter: Da Sie ja immer noch irgendwelche verbotenen Dinge im Tank, am Unterboden oder im Motorraum versteckt haben könnten, müssten Sie vor der Weiterfahrt in ein anderes, vom Grenzbeamten bereitgestelltes Auto umsteigen. Genau das macht nämlich das ALG mit den empfangenen Daten: Es erzeugt nach der Überprüfung neue Pakete für die Daten, die dann zum Empfänger geschickt werden. Naja, selbst der gründlichste Beamte hätte wohl aus Praktibilitätsgründen von so einer drastischen Maßnahme abgesehen.

Da sich das Application Level Gateway mit seinen vielen Möglichkeiten und der wenig komplexe Paketfilter in ihren Prüfverfahren sinnvoll ergänzen, ist es empfehlenswert, sie hintereinandergeschaltet zu einem zweistufigen System zu kombinieren. Denn eine inhaltliche und eine formale Kontrolle verringern die Angriffsfläche spürbar. Ein zusätzlicher Schutz ergibt sich aus der geringen Wahrscheinlichkeit, dass sich Sicherheitslücken durch zwei voneinander unabhängige Systeme ziehen.

 

Wenn Sie sich noch an früher erinnern: Kamen Sie von Ihrem Frankreichurlaub zurück, mussten sie auch immer zwei Zollstationen passieren. Eine bei der Ausreise und eine bei der Einreise. Wenn Sie Pech hatten, mussten Sie damals nicht nur bei der Ausreise Ihren Ausweis vorzeigen, sondern anschließend bei der Einreise auch noch Ihren kompletten Kofferraum auspacken. Und natürlich fanden die Grenzbeamten drei unverzollte Kartons Bordeaux und acht Stangen Zigaretten, die Ihnen eigentlich erst wieder zu Hause eingefallen wären.

Weitere Informationen zur zweistufigen Firewall: www.genua.de/genugate/


Bildquelle: © Martynasfoto / iStockphoto.com

 

 


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.