Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Firewall

Eine Firewall ist für Einzelplatzrechner und Rechnernetzwerke unerlässlich – insbesondere dann, wenn diese am Internet angeschlossen sind. Sie schützt vor gefährlichen Angreifern, die erheblichen Schaden anrichten können. Die potenziellen Gefahren reichen von Datenveränderung und Datendiebstahl bis hin zum vollkommenen Zusammenbruch des Systems. Die jeweilige Firewall hilft, derartige Szenarien zu verhindern.

Was ist eine Firewall?

Bei einer Firewall handelt es sich um eine Security Software, die einen einzelnen Rechner oder ein ganzes Rechnernetzwerk vor unbefugten Zugriffen schützen soll. In Anlehnung an den Namen kann man sich eine Mauer vorstellen, die zwischen einem oder mehreren Rechnern und dem Internet oder einem anderen Netzwerk steht und bestrebt ist, den oder die Rechner vor übergreifenden Bränden mit verheerenden Folgen zu bewahren. So hält sie Schadsoftware (in der Fachsprache als Malware bezeichnet) vom System fern und genehmigt nur vertrauenswürdige Anfragen. Kurzum regelt eine Firewall also den Datenverkehr zwischen Rechner(n) und Internet beziehungsweise jedem sonstigen Netzwerk. Dieses zum besseren Verständnis vereinfacht dargestellte Prinzip erfährt in Bezug auf Rechnernetzwerke in Unternehmen eine gewisse Verkomplizierung. In Unternehmen sind Rechnernetzwerke gemeinhin nicht autonom, sondern stattdessen stellen sie die Verbindung mehrerer Abteilungen und Standorte her, sorgen für den Anschluss zum Internet und zu Geschäftspartnern. Insofern umfassen sie diverse Zonen, die eines ausreichenden Schutzes bedürfen. Firewalls übernehmen diese Aufgabe. Sie reglementieren die Zugriffe zwischen den genannten Zonen, indem sie als eine Art Filter alle zonenüberschreitenden Netzwerkverbindungen kontrollieren und protokollieren. Vor allem für die Abschottung des Unternehmensnetzwerks vom Internet sind Firewalls unumgänglich.

Gründe für den Einsatz einer Firewall

Die Notwendigkeit einer Firewall lässt sich am besten anhand des Negativbeispiels beschreiben: Nutzt man keine solche Applikation, können sich Unbefugte relativ problemlos Zugriff auf den ungeschützten Rechner oder das ungesicherte Rechnernetzwerk im Unternehmen verschaffen. Dies gefährdet die Sicherheit der mitunter geheimen Daten ebenso wie die Funktionstüchtigkeit des gesamten Systems. Ist es einem Fremden erst einmal gelungen, in den Rechner oder das Netzwerk einzudringen, kann er beispielsweise Daten einsehen, manipulieren oder auch löschen sowie Malware, die den Rechner oder das Netzwerk gezielt ausspionieren und/oder ihm erheblichen Schaden zufügen, installieren. Um all dem entgegenzuwirken, ist der Einsatz einer Firewall nicht nur empfehlenswert, sondern obligat.

Schutzziele der Firewall im Sinne der Informationssicherheit

Mit der Informationssicherheit im Allgemeinen und einer effektiven Firewall im Speziellen sollen die Integrität, Vertraulichkeit und Verfügbarkeit der Daten dauerhaft gewährleistet werden. Integrität bedeutet, dass die Daten einen nachvollziehbaren und korrekten Zustand haben. Die Firewall sichert diese, indem sie zum Beispiel vor Malware schützt, die diese gefährden könnte. Für die Vertraulichkeit, die sich darauf bezieht, dass ausnahmslos autorisierte Personen und Systeme Zugriff auf Daten erhalten, sorgt die Firewall durch Verhinderung des Aufbaus bestimmter Kommunikationsverbindungen. Die stete Datenverfügbarkeit erwirkt sie in erster Linie, indem sie eine Überlastung des Datennetzes vermeidet. In diesem Zusammenhang spielt die Abwehr von sogenannten Denial-of-Service-Angriffen (DoS-Angriffen) eine essenzielle Rolle. Bei einem DoS-Angriff versucht der Täter, einen oder mehrere Dienste in dessen beziehungsweise deren Funktion zu stören und möglichst ganz zu deaktivieren. Eine potenzielle Angriffstechnik besteht darin, das jeweilige Netzwerk mit einer Flut von Kommunikationsanfragen zu überschwemmen, um das attackierte System zusammenbrechen zu lassen. In der Folge haben berechtigte Nutzer keinen Zugriff mehr auf die Daten.

Firewall als Bestandteil eines umfassenden Sicherheitskonzept

Die Nutzung eines effektiven Firewall-Systems ist als Teilaspekt eines umfassenden Sicherheitskonzepts zu verstehen. Weitere wichtige und ähnliche Komponenten sind beispielsweise der regelmässige Einsatz eines Viren-Suchprogramms sowie der Passwort- und Verschlüsselungsschutz aller sensiblen Daten. Das heisst, dass eine Firewall allein nicht im Stande ist, jedwedes Übel fernzuhalten, und die Verantwortlichen im Unternehmen dementsprechend ein Gesamtkonzept (z.B. im Sinne des BSI-Grundschutzes) entwickeln und umsetzen müssen, um die erforderliche Informationssicherheit zu garantieren.

Die Arten von Firewalls

Es gibt mehrere Arten von Firewalls. Je nachdem, ob es den privaten Rechner beziehungsweise den geschäftlichen Rechner oder ein umfassendes Rechnernetzwerk zu schützen gilt, kommen unterschiedliche Firewall-Arten in Betracht. Zunächst gilt es zwischen den «Personal Firewalls» und «externen Firewalls» zu differenzieren. Bei einer Personal Firewall ist der Schutzmechanismus entweder ins Betriebssystem eingebettet oder als Zusatzsoftware auf dem Rechner installiert. Demgegenüber fungiert eine externe Firewall als vorgelagerte Appliance, also als separate Kombination aus Hard- und Software. Letztere kann im Gegensatz zu einer Personal Firewall, die besonders für den privaten Heimgebrauch zum Einsatz kommen kann, ein ganzes Netzwerk schützen. In Bezug auf externe Firewalls wird grob zwischen Paketfilterung, Stateful Inspection, Proxy, Circuit Level Gateway, Application Level Gateway und Hybrid unterschieden, die nachfolgend ganz kurz erklärt werden.

Paketfilterung

Die Grundform der Firewall ist nichts anderes als ein einfacher Sortieralgorithmus. Nach Regeln, die der User aufgestellt hat, entscheidet die Firewall, ob die jeweiligen Informationen beziehungsweise Daten passieren dürfen oder nicht. Diese Art von Firewall ist schnell und einfach konfigurierbar, durch den simplen Aufbau aber leicht zu überlisten.

Stateful Inspection

Eine Firewall mit Stateful Inspection wendet nicht nur einfache Filterregeln an, sondern blockiert zudem nichtautorisierten Verkehr auf intelligente Weise. Dies gelingt, indem die Firewall Daten analysiert, um sicherzustellen, dass Verbindungsanfragen in der korrekten Reihenfolge auftreten.

Proxy

Eine Proxy-Firewall erlaubt keine direkte Verbindung zwischen Netzwerk und Internet. Stattdessen nimmt sie Anforderungen an und führt diese im Namen des Benutzers aus.

Circuit Level Gateway

Eine Circuit Level Gateway Firewall ist eine optimierte Variante der Proxy-Firewall. Vereinfacht gesagt, arbeitet diese Form noch etwas genauer, wenn es darum geht, das Zustandekommen autorisierter Verbindungen zu erlauben und transparent aufzuzeichnen.

Application Level Gateway

Eine Application Level Gateway Firewall wirkt ebenfalls wie eine Proxy-Firewall, lässt also keine direkte Verbindung zwischen dem Benutzer und dem Zielsystem zu. Gleichzeitig filtert sie die Verbindung meistens auf intelligente Art und Weise und kann prüfen, ob auf Benutzer- oder Applikations- und nicht nur auf Netzwerkebene eine Anfrage erlaubt ist. Sie arbeitet folglich noch einmal erheblich detailreicher als die anderen Varianten, deren Funktionsweisen sie adaptiert.

Hybrid

Eine Hybrid-Firewall ist eine Mischform. Sie vereint diverse Funktionen anderer Firewalls, vor allem jene der Paketfilterung und der Proxy-Firewall. Häufig sind moderne Firewall- Applikationen keine Reinformen, sondern Hybridlösungen.

Produktbeispiel: Airlock Web Application Firewall

Drei Viertel aller Webapplikationen (Anwendungsprogramme nach dem Client-Server-Modell) sind auf Applikationsebene angreifbar. Mit einer klassischen Netzwerk-Firewall lässt sich der erforderliche Schutz nicht in ausreichendem Masse erwirken, da sie Daten, die durch Applikationen an die Netzwerkgrenzen gelangen, vor Angriffen nicht ausreichend bewahren kann. Gelangen beispielsweise sensible Unternehmensdaten, gerade im Finanzbereich, in die falschen Hände, geht dies oft mit erheblichen Schäden einher – in finanzieller Hinsicht ebenso wie in Bezug auf das Image. Diese Verluste zu kompensieren ist häufig sehr schwierig. Deshalb sollte man Angriffe von vornherein möglichst gut abwehren. An dieser Stelle kommt eine Software wie die Airlock Web Application Firewall (kurz WAF) der Ergon Informatik AG ins Spiel.

Funktionen der WAF kurz umrissen

Airlock WAF sorgt für eine systematische Kontrolle und Filterung aller Zugriffe auf sämtlichen Ebenen. Sie entspricht also dem Prinzip der Application Gateway Level Firewall. So können Unternehmen das Potenzial des Internets ausschöpfen, ohne die Sicherheit und Verfügbarkeit ihrer Webapplikationen und Webservices zu gefährden. Airlock WAF fungiert inzwischen als Standard im E-Banking der Schweiz. Dieser Fakt aus der Praxis verdeutlicht die hohe Sicherheit, die das Produkt gewährleistet. Die Airlock Web Application Firewall lässt sich mit einer Authentisierungslösung wie Airlock Login oder Airlock IAM kombinieren. Durch das Zusammenwirken der Komponenten wird die vorgelagerte Authentisierung und Autorisierung von Benutzern erzwungen. Dies ist für eine rundum wirkungsvolle Informationssicherheit sehr wichtig.

---

Blogpost wurde erstellt von Marco Fritschi (Ergon Informatik AG) im Rahmen vom CAS Information Security & Risk Management. https://www.ergon.ch/de/wir/mitarbeitende/marco-fritschi https://www.xing.com/profile/Marco_Fritschi https://www.linkedin.com/in/marco-fritschi/ Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.