Wofür braucht man eigentlich eine Firewall?

Die Firewall ist wie ein Türsteher, der entscheidet, welche (Daten-) Pakete rein und raus dürfen und welche nicht. Konkret heißt das: Eine Firewall ist ein Schutz-Mechanismus, der den gesamten Datenverkehr analysiert und IT-Systeme vor unbefugten Zugriffen und Angriffen durch Malware & Co. schützt. Wie eine Firewall arbeitet und was es beim Einsatz zu beachten gibt, das haben wir in diesem Artikel zusammengefasst.

„Brandmauer“ bedeutet der Begriff Firewall wörtlich übersetzt. Wie eine Brandschutztür soll eine Firewall verhindern, dass Brände entstehen beziehungsweise sich ausbreiten können im unternehmerischen Netzwerk. Dazu analysiert eine Firewall den Datenverkehr und verhindert das Eindringen gefährlicher Daten. Eine Firewall überwacht quasi, wer wann wo herein- und herausspaziert und sperrt die Tür für alle ab, die verdächtig erscheinen. Sie agiert dabei nach vorab individuell festgelegten Regeln, um die Türen zum Unternehmensnetzwerk, die als Ein- und Ausgänge – sogenannte Ports –, genutzt werden, gemäß der eigenen Sicherheitsrichtlinien entweder zu öffnen oder zu sperren. Eine Firewall ist somit in der Lage, potential schädliche Zugriffe auf ein IT-System als solche zu erkennen und unerlaubtes Eindringen zu unterbinden.

Der Einsatz einer Firewall ist eine Maßnahme, die in jedem IT-Sicherheitskonzept Anwendung finden sollte – übrigens nicht nur im Unternehmen, sondern auch privat. Wer keine Firewall nutzt, riskiert, dass Angreifer über offene Ports uneingeschränkten Zugriff auf ganze Netzwerke oder Rechner erhalten und diese mit Schadprogrammen infizieren können.

Die Firewall kann entweder als Softwarekomponente oder als dedizierte Hardware genutzt werden. Sie lässt sich einsetzen, um einzelne PCs, Server oder ganze Unternehmensnetzwerke abzusichern. Welche Variante sich wann anbietet, darauf gehen wir später im Detail ein. Zunächst schauen wir uns an, wie eine Firewall eigentlich genau funktioniert.

Welche Funktionen hat eine Firewall?

Das Grundprinzip einer Firewall vereint den Job eines Paketzustellers mit dem eines Türstehers: Über einen sogenannten Paketfilter entscheidet die Firewall anhand seines Adressaufklebers, ob das Datenpaket die Türschwelle überschreiten darf oder nicht. Die Passier-Regeln hierfür werden einmal zentral definiert und bleiben dann bestehen.

Zusätzlich zu dieser Funktionsweise der Firewall gibt es eine sogenannte dynamische Paketfilterung als Ergänzung zu den statischen, stets gleichbleibenden Passier-Regeln. Das kann man sich wie folgt vorstellen: Der Türsteher schnappt sich sein Funkgerät und funkt den Empfänger des Datenpakets, das an seiner Tür passieren will an, um nachzufragen, ob dieser bereit ist, das Paket anzunehmen. Nur wenn der Empfänger sagt, dass er das Paket annehmen kann und will, wird es an der Tür von der Firewall – respektive unserem Türsteher – auch durchgelassen.

Aber was ist, wenn in dem Paket etwas Gefährliches enthalten ist? Dafür gibt es die dritte Ebene der Firewall-Funktionalität: Die Deep Packet Inspection. Dabei wird nicht nur geschaut, ob der Empfänger das Paket annehmen kann und will, sondern es wird auch geöffnet und sein Inhalt geprüft. Als würde ein Paket beim Zoll hängen, der den Inhalt kritisch begutachtet. 

Und da oftmals ja auch andere Kommunikation Aufschluss geben kann, ob das Paket wirklich nur ein netter Gruß von der Tante ist, analysiert eine Proxy-Firewall quasi die gesamte Kommunikation zwischen Absender und Empfänger.

Die Funktionskomponenten einer Firewall im Überblick:

• Paketfilter: Was darf wer wann empfangen? Standard-Prozedere von Firewalls, das vor allem auf Basis von IP-Absenderadressen, IP-Zieladressen und Ports arbeitet.
• Stateful Packet Inspection: Ist der Empfänger bereit, das Paket zu empfangen?
• Deep Packet Inspection: Was ist im Paket drin und ist dieser Inhalt unbedenklich?
• Proxyfunktion: Der Türsteher fungiert hierbei als Mittelsmann an einem anderen Standort – der Datenverkehr fließt niemals direkt, sondern immer über ihn als eine Art Zwischenstation an einem anderen Ort. Der Türsteher übernimmt somit durch die Proxyfunktion in der Firewall die Rolle des Absenders und leitet erlaubte Anfragen in seinem Namen weiter.
• Content-Filter: Stellt sicher, dass der Empfänger keine illegalen oder anstößigen Inhalte zu Gesicht bekommt.
• Network Address Translation: Hierbei werden IP-Adressen so verändert, dass eine öffentliche Adresse von mehreren Hosts gleichzeitig verwendet werden kann.
• URL-Filter: Beschränkt den Zugriff auf bestimmte Websites, die unzulässige Inhalte enthalten. Ebenso lässt sich so beispielsweise eine Nutzung von Unterhaltungsseiten wie Games, Social Media etc. im gesamten Unternehmensnetzwerk unterbinden.
• Virtual Private Networks (VPN): Die VPN-Verbindungen in der Firewall sind wie ein Generalschlüssel – über diese verschlüsselten Verbindungen ist es möglich, die Tür zu passieren, obwohl man vielleicht aus einer „unsicheren Gegend“ kommt, wie einem öffentlichen WLAN. In der Firewall werden in der Regel VPN-Zugriffe im Detail konfiguriert und terminiert.
• Intrusion Detection System: Dient der Erkennung von unerlaubten Eingriffen. Als würde man den Türsteher regelmäßig zu Schulungen schicken, bei der er von anderen Türstehern lernt.
• Intrusion Prevention System: Diese Funktion dient der automatischen Erkennung von Mustern und ist damit eine Präventionsmaßnahme, die auf Basis des bestehenden Datenstroms Schlüsse zieht. Als würde der Türsteher kontinuierlich mit allen anderen Türstehern in Kontakt stehen, um sich über aktuelle Bedrohungen auszutauschen.

Wie sollte eine Firewall konfiguriert werden?

Für die Konfiguration einer jeden Firewall gilt: Nur wirklich zwingend notwendige Zugriffe sollten auch zugelassen werden. Lieber erstmal sehr streng sein – sollten nötige Zugriffe später nicht möglich sein, kann man für diese Fälle immer noch den Zugriff erlauben.

Eine Firewall besteht immer aus einer Softwarekomponente, die ein- und ausgehende Netzwerkpakete lesen und analysieren kann. In dieser Software kann man anhand von Regeln einstellen, welche Daten man erlauben möchte und welche nicht. Diese Software kann direkt auf dem zu schützenden Gerät installiert sein (Personal Firewall oder auch Desktop Firewall genannt) oder auf einer separaten Hardware, die explizit nur dazu dient, die Firewall bereitzustellen (Hardware-Firewall oder externe Firewall genannt).

Stellen wir uns die Firewall wieder wie den Türsteher vor, ist es natürlich von zentraler Bedeutung, WO dieser platziert ist. Sind erstmal alle Türen unbewacht und der Türsteher kontrolliert lediglich, wer zur T Toilettentür rein- und rausgeht, wäre die Firewall äußerst nutzlos. Vielmehr muss sie genau dort platziert werden, wo sich die Netzwerkgrenze zwischen dem internen und dem externen Netzwerk befindet. Wenn man sich ein Gebäude vorstellt, dann wäre dies an der Grundstücksgrenze – wobei um das Grundstück ein Zaun gezogen ist und die Firewall (respektive unser Türsteher) an einem Führerhäuschen aufpasst, wer von draußen reinkommt und wer von drinnen rausgeht.

Bezogen auf den Datenstrom in einem Unternehmen ist der Router eine mögliche, zentrale Verbindungsstelle für die Platzierung des Türstehers. Nutzt man eine Firewall im Router, dann untersucht dieser den Netzwerkverkehr, bevor er die Chance hat, auf die Geräte innerhalb des Netzwerks zu treffen. Diese Einsatzweise einer Firewall ist für Unternehmen und Privatpersonen gleichermaßen sinnvoll.

Je größer das Unternehmen, desto wichtiger ist es, mehrere Türsteher zu haben: Einen am Haupteingang, aber auch weitere in den einzelnen Etagen des Gebäudes. So lassen sich Schutzwälle zwischen den Abteilungen bilden und Datenströme aus der Buchhaltung oder Geschäftsleitung intern absichern.

Sind noch Fragen offen zum Thema Firewalls? Fragen Sie sich, ob Ihr Firewall-Konstrukt Ihr Unternehmensnetzwerk optimal schützt? Wie beraten Sie gerne, sprechen Sie uns jederzeit an!