gute Firewall-Konfiguration

Die erste Frage, die sich bei einer Firewall stellt, ist die Sicherheit. Eine Abschottung zwischen internen und externen Netzwerken wäre der erste Gedanke. Leider ist dieser Ansatz schon lange nicht mehr ausreichend.

Der Datentransfer ist ein erster Ansatz. Hier sollte die gesamte Übertragung verifiziert werden. Und schon werden weitere Fragen aufgeworfen, über welche Übertragung sprechen wir. Bevor ein System im Internet erreicht wird, fragt Ihr System das DNS (Domain Name System) ab. Ein Computer im Netzwerk/Internet hat einen Namen und eine sogenannte IP-Adresse. Man kann sagen, die Namen sind ehr für uns Menschen gemacht. Die IP-Adressen bestehen aus Zahlenfolgen die ehr „Maschinentauglich“ sind. Wird nun eine Internetadresse aufgerufen, so wird diese über das DNS-System in eine IP-Adresse umgewandelt. Nun kann durch Beeinträchtigung ein System mit falschen „Adress-Übersetzungen“ gespeist werden. Das Ergebnis ist, sie erreichen unter Umständen ein falsches System trotz korrekter Adresseingabe.

Zum Beispiel: www.IhreHausbank.de wird aufgerufen und Sie landen auf einer www.Fake-Banking-Webseite.de.  

Fazit: eine korrekte DNS-Namensauflösung ist für den sicheren und zuverlässigen Betrieb unabdingbar.

Ein nächster Schritt ist der sogenannte „Internetverkehr“.  Hier differenziere ich zunächst den Webseitenaufruf. Üblicherweise wird durch Ihren Provider ein Router bereitgestellt. Wie der Name schon sagt, routet er den „Internet-Verkehr“. Hier findet keine Inhaltsfilterung statt, sondern ein Einfaches „weiterleiten“. Sollte über einen Router schädlicher Inhalt übermittelt werden, so kommt dieser direkt am Client an.

Fazit: ein Inhaltsfilter der ungewünschten Übertragungen verbietet ist hier ein Ansatz. Hierzu kann man einen Proxy-Server nutzen.

Der Proxyserver speichert die Daten erst einmal zwischen. Historisch gesehen ein Zwischenspeicher der bei mehrmaligem Aufruf die Daten nicht erneut aus dem Internet lädt. Zu Zeiten von langsamen Internetverbindungen sehr Anwenderfreundlich.

Inzwischen ist der Proxy-Server ehr ein Sicherheitsinstrument geworden. Er kann zur Verifizierung des richtigen Servers genutzt werden. Somit werden „böse“ Webseiten gar nicht erst ins Netz gelassen. Ebenfalls kann der Internet-Traffic auf Schadsoftware wie beispielsweise Viren, Trojaner, Spyware etc. geprüft werden. Ebenfalls kann ein Regelwerk erstellt werden, was wann erlaubt oder verboten ist.

Ein ähnliches Prinzip kann man für die E-Mail-Nutzung abbilden.  Hier sind Risiken durchaus anders gelagert. Gehen wir beispielsweise von eine Fake-Mail aus, die einen Verschlüsselungstrojaner beinhaltet. Im günstigsten Fall verwirft Ihr Mailproxy die Nachricht, bevor Sie im internen Netzt zugestellt wird.

Richtig stark wird das System, wenn sich alle Schutz-Mechanismen ergänzen.  Am Beispiel der Fake-Mail, die durchaus von einem richtigen Absender kommen kann, wird zugestellt. Die Spam-Erkennung würde unter Umständen umgangen. In diesem Fall sollte die Anlage durch den Virenschutz des Systems gelöscht werden. Die Mail kann dennoch zugestellt werden und beinhaltet einen sogenannten Hyperlink. Hier kommt der Web-Proxy zum Einsatz. Er sollte entweder den Link sperren, weil die Firewall das „böse“ Ziel bereits kennt oder der Virenscanner verweigert den Traffic.

Das alles entlastet natürlich das interne Netzwerk, entkräftet aber keine Falls Sicherheitsanwendungen am Endpoint, Ihrem PC oder Server. Unter Endpoint ist zunächst die letzte Station der Übertragung zu verstehen.

Die klassische Firewall (Feuerwand, vielleicht auch als Brandschutzwand zu verstehen) trennt schon lange nicht mehr nur zwei Bereiche voneinander ab. Risiken können auch aus dem internen Netzwerk kommen. Ungeprüfte Datenträger (USB-Stick, DVD etc.), Gastrechner von beispielsweise Vertretern oder Mitarbeitern. Das Problem ist dabei, dass die Gefahren nicht kalkulierbar sind. Mit einer Firewall können Segmente also Netzwerkteile erstellt werden. Server können aus der „Risikozone“ genommen werden. Über VLAN (virtuelle Netzwerke) können Gast- oder Risikonetze etabliert werden.

Abschließend ist eine Firewall natürlich auch dafür da, sich gegen Angriffe von außen zu behaupten. Weltweit schätz man das etwa 4 Milliarden Menschen das Internet nutzen. Da ich diese Nutzer nicht kenne, muss ich die Risikobehafteten Systeme auf eben die 4 Milliarden schätzen… dagegen steht eine Verbindung, die in Ihr Verantwortungsbereich fällt. Die Frage ob rudimentärer Schutz über einen Router ausrecht oder ein proaktiver Schutz die bessere Wahl ist, beantwortet sich von selbst.

Meine Empfehlung:

Aufgrund von beispielsweise dem Protokoll TR069 ,welches Provider zur Provisionierung nutzen können, Staatsanwaltschaften zur „Onlinedurchsuchung“ kann es von Verbrechern sicherlich als Trittbrett missbraucht werden.

Habe ich ein Qualitätsprodukt welches während der LifeTime mit Updates versorgt wird, hinterlässt der Gedanke nur einen bitteren Beigeschmack.

Nutze ich Billigprodukte ist beim Hersteller kein Geld für Weiterentwicklung vorhanden. Ich den Einsatz solcher Produkte als fahrlässig ein. Risiken ändern sich, die Produkte die wir einsetzten sollten immer dem aktuellen Bedarf angepasst sein

Hersteller die eine „NoBackdoor“ (Kein Hintertürchen) Garantie aussprechen, Geräte deutscher Hersteller eingesetzt, Pflege und längere Garantieansprüche sind gute Entscheidungshilfen