gute Firewall-Konfiguration

Die erste Frage, die sich bei einer Firewall stellt, ist die Sicherheit. Eine Abschottung zwischen internem und externem Netzwerk wäre der erste Gedanke. Leider ist dieser Ansatz schon lange nicht mehr ausreichend.

Der Datentransfer ist ein erster Ansatz. Hier sollte die gesamte Übertragung verifiziert wird. Schon werden weitere Fragen aufgeworfen, über welche Übertragung sprechen wir. Bevor ein System im Internet erreicht wird, fragt Ihr System DNS (Domain Name System) ab. Ein Computer im Netzwerk/Internet hat einen Namen und eine sogenannte IP-Adresse. Man kann sagen, die Namen sind ehr für uns Menschen gemacht. Die IP-Adressen bestehen aus Zahlenfolgen die ehr „Maschinentauglich“ sind. Wird nun eine Internetadresse aufgerufen, so wird diese über das DNS-System in eine IP-Adresse umgewandelt. Nun kann durch Beeinträchtigung ein System mit falschen „Adress-Übersetzungen“ gespeist werden. Das Ergebnis ist, sie erreichen unter umständen ein falsches System trotz korrekter Adresseingabe.

Fazit: eine korrekte DNS-Namensauflösung ist für den sicheren und zuverlässigen Betrieb unabdingbar.

Ein nächster Schritt ist der sogenannte „Internetverkehr“.  Hier differenziere ich zunächst den Webseitenaufruf. Üblicherweise wird durch Ihren Provider ein Router bereitgestellt. Wie der Name schon sagt, routet er den „Internet-Verkehr“. Hier findet keine Inhaltsfilterung statt, sondern ein Einfaches „weiterleiten“. Sollte über einen Router schädlicher Inhalt übermittelt werden, so kommt dieser direkt am Client an.

Fazit: ein Inhaltsfilter der ungewünschten Übertragungen verbietet ist hier ein Ansatz. Hierzu kann man einen Proxy-Server nutzen.

Der Proxyserver speichert die Daten erst einmal zwischen. Historisch gesehen ein Zwischenspeicher der bei mehrmaligem Aufruf die Daten nicht erneut aus dem Internet lädt. Zu Zeiten von langsamen Internetverbindungen sehr Anwenderfreundlich.

Inzwischen ist der Proxy-Server ehr ein Sicherheitsinstrument geworden. Er kann zur Verifizierung des Richtigen Server genutzt werden. Somit werden „böse“ Webseiten gar nicht erst ins Netz gelassen. Ebenfalls kann der Internet-Traffic auf Schadsoftware wie beispielsweise Viren, Trojaner, Spyware etc. geprüft werden. Ebenfalls kann ein Regelwerk erstellt werden, was wann erlaubt oder verboten ist.

Ein ähnliches Prinzip kann man für die E-Mail-Nutzung abbilden.  Hier sind Risiken durchaus anders gelagert. Gehen wir beispielsweise von eine Fake-Mail aus, die einen Verschlüsselungstrojaner beinhaltet. Im günstigsten Fall verwirft Ihr Mailproxy die Nachricht, bevor Sie im internen Netzt zugestellt wird.

Richtig stark wird das System, wenn sich alle Schutz-Mechanismen ergänzen.  Am Beispiel der Fake-Mail, die durchaus von einem richtigen Absender kommen kann, zugestellt werden sollte. Die Spam-Erkennung versagt und die Anlage wird verworfen. Die Mail kann dennoch zugestellt werden und beinhaltet einen sogenannten Hyperlink. Hier kommt der Web-Proxy zum Einsatz. Er sollte entweder den Link sperren, weil die Firewall das „böse“ Ziel bereits kennt oder der Virenscanner verweigert den Traffic.

Das alles entlastet natürlich das interne Netzwerk, entkräftet aber keine Falls Sicherheitsanwendungen am Endpoint, Ihrem PC oder Server.

Die klassische Firewall (Feuerwand, vielleicht auch als Brandschutzwand zu verstehen) trennt schon lange nicht mehr nur zwei Bereiche voneinander ab. Risiken können auch aus dem Internen Netzwerk kommen. Ungeprüfte Datenträger (USB-Stick, DVD etc.), Gastrechner von beispielsweise Vertretern oder Mitarbeitern. Das Problem ist dabei, dass die Gefahren nicht kalkulierbar sind. Mit einer Firewall können Segmente also Netzwerkteile erstellt werden. Server können aus der „Risikozone“ genommen werden. Über VLAN (virtuelle Netzwerke) können Gast- oder Risikonetze etabliert werden.

Abschließend ist eine Firewall natürlich auch dafür da, sich gegen Angriffe von außen zu behaupten. Weltweit schätz man das etwa 4 Milliarden Menschen das Internet nutzen. Da ich diese Nutzer nicht kenne, muss ich die Risikobehafteten Systeme auf eben die 4 Milliarden schätzen… dagegen steht eine Verbindung, die in Ihr Verantwortungsbereich fällt. Die Frage ob rudimentärer Schutz über einen Router ausrecht oder ein proaktiver Schutz die bessere Wahl ist, beantwortet sich von selbst.

Meine Empfehlung: Aufgrund von dem Protokoll TR069 welches Provider nutzen können, kann ich nur Systeme empfehlen, bei denen der Hersteller eine „NoBackdoor“ Garantie ausspricht. Um unser Recht völlig frei ausschöpfen zu können sollten Geräte deutscher Hersteller eingesetzt werden.