Generell sollte vor der Auswahl einer Firewall eine detaillierte Bestandsaufnahme der bestehenden IT-Umgebung durchgeführt werden, um die passende Architektur zu finden und Leistungsanforderungen sowie die gewünschte Funktionalität festzulegen. Die technischen Anforderungen basieren auf dem Ergebnis der Netzwerkanalyse.Wie genau ist das zukünftig abzusichernde Netzwerk aufgebaut? Gibt es verschiedene Zonen, die getrennt werden müssen? Sind Daten auf Servern der Allgemeinheit zur Verfügung zu stellen – wie zum Beispiel mit FTP-Servern oder auf Webseiten? Diese Fragen sollte sich jedes Unternehmen unbedingt stellen.

Demilitarisierte Zone
Sollen Dienste im Netz von außen zugänglich sein, werden diese üblicherweise in einer DMZ (Demilitarisierten Zone) installiert. Eine DMZ kann man sich wie eine Einbahnstraße vorstellen. Anfragen erreichen die DMZ aus dem Internet und werden dort auch beantwortet.Allerdings kann kein Rechner, der in der Demilitarisierten Zone steht, von sich aus eine Verbindung in das lokale Netz aufbauen. Damit bleiben Hacker ausgesperrt, selbst wenn sie die Kontrolle über einen der Server in der DMZ gewinnen sollten. Sogar die ganz kleinen Firewalls für SOHOs und Privatanwender geben im Datenblatt mit DMZ-Funktionalität an. Dabei handelt es sich aber fast immer um einen technischen Trick: Lediglich eine lokale IP-Adresse wird zur DMZ deklariert und Anfragen dorthin umgeleitet. Diese “virtuellen” DMZs können aber leicht durch spezielle Tools ausgehebelt werden. Eine echte DMZ ist immer ein separater physikalischer Port an der Firewall. Oft wird er nicht als DMZ ausgewiesen, sondern nur wie eine weitere Zone behandelt.
Zonenbasiertes Networking trennt Bereiche voneinander. So lassen sich die Auswirkungen eines trotz aller Vorsichtsmaßnahmen entstandenen Sicherheitsproblems auf einen möglichst kleinen Bereich einschränken. Die Aufteilung in Zonen sorgt aber auch dafür, dass die Daten der Personalabteilung nur das Netzwerksegment passieren, in dem Anwender arbeiten, die diese Daten benötigen. Auf diese Weise lässt sich LAN-Sniffing wirkungsvoll verhindern.

Appliance oder Software?

Ursprünglich wurden Firewalls als reine Softwarelösung auf einem Server unter Unix oder Windows aufgesetzt, mittlerweile laufen ihnen Appliances in vielen Firmen den Rang ab.Aber nach wie vor sind softwarebasierte Firewalls von mehreren Herstellern erhältlich und stellen eine ernst zu nehmende Alternative für den Schutz des Unternehmensnetzwerks dar. Punkten können die Softwarevarianten, wenn auf dem Server weitere Dienste wie Antivirus oder ein Spamfilter laufen sollen. Diese können unter Windows oder Linux erheblich einfacher implementiert werden als auf einer Appliance, die in der Regel ein proprietäres und nicht zugängliches Betriebssystem nutzt. Da einige der Softwarefirewalls auf modifizierten Linux- Distributionen beruhen, lassen sich auch – entsprechendes Wissen vorausgesetzt – sehr günstig leistungsfähige Systeme im Eigenbau einrichten.

Auf der Habenseite der Appliances hingegen steht das gehärtete Betriebssystem, das von allen anfälligen oder nicht benötigten Modulen befreit wurde und in der Regel unempfindlicher gegen die berüchtigten Vulnerabilities (Sicherheitslücken) ist. Da eine Appliance gegenüber einem normalen Rechner oder einem Server einen reduzierten und spezialisierten Funktionsumfang hat, bleibt der Code übersichtlicher und bietet durch seine Überschaubarkeit dem Angreifer vermutlich weniger mögliche Sicherheitslücken. Außerdem ist ein dediziertes Gerät durch die Reduzierung auf das Notwendige leichter zu verwalten und meist auch einfacher in eine bestehende Netzwerkumgebung einzufügen. Fast immer kann der Administrator mit einem Webbrowser direkt auf eine Appliance zugreifen, eine separate Softwareinstallation ist normalerweise nicht notwendig.

Ports blocken reicht nicht
Das generelle Prinzip einer Firewall besteht darin, unter anderem alle TCP/IPPorts am Eingang zum Netzwerk zu schließen, um zu verhindern, dass Hacker über sie eindringen können. Geöffnet werden diese Ports ganz gezielt für den kontrollierten Datenverkehr in und aus dem Internet. Um auch mit Anwendungen umgehen zu können, die Ports erst bei Bedarf anfordern, ist mittlerweile Stateful-Inspection für alle Firewalls Pflicht. Doch haben sich auch Hacker auf diese Schutzmechanismen eingestellt und verstecken ihren Angriffscode in legitimen Datenpaketen und Protokollen wie HTTP.Aktuelle Firewallsysteme untersuchen daher den Datenstrom auf bestimmte Signaturen, die entweder untypisch für das verwendete Protokoll sind oder bereits als kritisch eingestuft und in der zentralen Datenbank des Firewallanbieters abgelegt wurden. In diesem Fall spricht man von Systemen, die “Application-Aware” sind.
Doch die beständige Kontrolle aller eingehenden und oft auch ausgehenden Pakete verlangt nach hoher Rechenleistung – ein weiterer Faktor, bei dem Appliances vorn liegen. Sie verfügen ab einer bestimmten Preisklasse über spezielle Prozessoren, so genannte ASICs, die die Durchsatzgeschwindigkeiten bei rechenintensiven Anwendungen wie der Behandlung von verschlüsseltem Datenverkehr erhöhen.
Da Unternehmensnetzwerke meist über verschiedene Standorte per Internet über so genannte Virtual Private Networks (VPNs) verbunden sind und diese VPNFunktionalität zweckmäßigerweise auch in Firewalls integriert ist, stellt sich die Frage, ob das anzuschaffende Gerät auch diese Eigenschaft mitbringen sollte.Wenn VPNs ein Thema sind und Tunnel von dem neuen Gerät zu bereits bestehenden VPN-Gateways aufgebaut werden sollen, spielt Interoperabilität eine gewichtige Rolle. Zwar wird inzwischen von fast allen Herstellern der IPSec-Standard unterstützt. Doch sollte man sich vergewissern, dass ein Datenaustausch auch wirklich funktioniert und erfolgreich gestestet wurde. Von Vorteil ist, wenn der Hersteller Kompatibilitätslisten zu Clients und Gateways veröffentlicht und detaillierte Anleitungen für die Konfiguration der Verbindungsparameter zum Download bereitstellt.Wer ein komplett neues VPNSystem aufsetzen kann,muss sich mit dieser Frage gar nicht erst befassen: In diesem Fall ist es empfehlenswert, eine einheitliche Umgebung aus dem Portfolio eines einzigen Anbieters zusammenzustellen.

Verfügbarkeit nicht vernachlässigen
Der Administrator sollte sich rechtzeitig die Frage stellen, wie wichtig die Internetanbindung für das Unternehmen ist und welche Kosten ein Ausfall der Firewall verursacht. Um die Verfügbarkeit des Internetzugangs zu erhöhen, bieten viele Hersteller Hardware-Failover-Funktionalität an. Das sind normalerweise zwei identische Geräte, die sich gegenseitig überwachen und von denen im Fehlerfall eines die Aufgabe des defekten anderen Gerätes übernimmt. Störungen beim Internet Service Provider, die man nicht beeinflussen kann, fängt hingegen ein “WAN-Failover” ab. Dabei kommuniziert die Firewall über zwei unterschiedliche Provider mit dem Internet. Im Idealfall wird Load-Balancing unterstützt, das die Datenpakete auf beide Leitungen verteilt, solange sie verfügbar sind. Für kleinere Büros genügt unter Umständen auch ein Failover über ISDN.
Je größer das Netzwerk ist, desto anspruchsvoller wird auch die Administration der Firewall. Hier ist zu prüfen, wie komplex das abzusichernde Netzwerk ist und ob das Know-how zur Administration bereits im Haus vorhanden ist oder ob das gesamte Securitymanagement an einen Managed Service Security Provider (MSSP) übergeben werden sollte.Wer die Firewalls selbst verwalten möchte, sollte auf einfache Konfiguration und Administration großen Wert legen, denn dies kann im Laufe der Zeit zu einem erheblichen Kostenfaktor werden. Hilfsroutinen, so genannte “Wizards” helfen dabei, auch komplexe Konfigurationen schnell umzusetzen.
Eine einzelne Firewall zu administrieren, ist normalerweise kein Problem. Für größere Netzwerke sollte darauf geachtet werden, dass sich die Geräte auch aus der Ferne sicher überwachen und administrieren lassen.Viele Hersteller setzen dazu auf verschlüsselte Verbindungen zur Firewall über einen VPN-Client oder SSL. Bei großen Installationen mit einer Vielzahl von verteilten Netzen ist es wichtig, dass der Hersteller ein zentrales Managementsystem anbietet.Komplexe Konfigurationen sind über eine objektorientierte Administration am leichtesten zu verwalten. Beliebige Objekte wie IP-Adressen, Subnetze oder auch Zeitobjekte sollten sich beliebig anlegen und gruppieren lassen. Das hilft bei Änderungen, die nur noch für einen Gruppe und nicht für jeden einzelnen Benutzer vorgenommen werden müssen.

Integration in Verzeichnisse
In einem Netzwerk haben unterschiedliche Anwender unterschiedliche Rechte. Um diese Rechte entsprechend umzusetzen, muss die Firewall ihre Benutzer erkennen. Früher lief diese Identifikation über die IP-Adresse des Computers, vor dem der Benutzer saß. Heute verwalten Firewalls im einfachsten Fall eigenen Listen mit Benutzerrechten. Wesentlich eleganter und ab einer bestimmten Größe notwendig ist es, auf bereits existierende Datenbanken wie Active Directory, Edirectory, RADIUS oder LDAP zuzugreifen. Damit ist sichergestellt, dass die Firewall immer mit den aktuellen Daten arbeitet.
Ein wichtiger Faktor, der nicht vernachlässigt werden darf, ist zudem die Kontrolle der generierten Logdateien. Firewalls erzeugen Unmengen an Daten über die einund ausgehenden Pakete,Angriffsversuche, Verbindungen und Events des Geräts selbst. Trotz der Fülle ist es wichtig, nicht den Überblick zu verlieren und relevante Informationen, zum Beispiel über Attacken oder Fehler im System, schnell zu finden. Eine umfassende und trotzdem einfach einzusetzende Filterkonstruktion hilft dabei. Noch besser ist es,wenn sich die Firewall selbst mit dem Administrator in Verbindung setzt, sobald sie suspekte Aktivitäten bemerkt. E-Mail-Unterstützung, am besten über einen eingebauten Mailserver, sowie unter Umständen Pager- und SMS-Benachrichtigung können für entscheidende Minuten Vorsprung sorgen, wenn ein Angriff oder eine Denial-of-Service- Attacke stattfindet. Sollte schon etwas passiert sein, erleichtern aussagekräftige Protokolle die forensische Analyse und Täterermittlung.

Ausblick
Die Firewall bietet sich als Basis für weitere sicherheitsbezogene Funktionen an. Von vielen Herstellern sind mittlerweile optionale Features wie Antivirus, Intrusion Prevention und Antispam oder Content Filtering verfügbar. Auch Wireless- LAN-fähige Firewallgeräte werden heute von vielen Herstellern angeboten. Die Integration dieser Dienste auf der Firewall bringt einige Vorteile mit sich: Zum einen entfällt zusätzliche Hardware, die in das bestehende Netzwerk eingebunden und später auch gewartet werden muss. Gleichzeitig bleibt es dem Administrator erspart, sich mit einer Vielzahl unterschiedlicher Administrationsoberflächen auseinander zu setzen.






Ausgabe 01/05 des IT-Administrator Magazin S. 16-18, Autor: Martin Schmitz