Hardware-Firewall  (2.293 Angebote unter 17.440.400 Artikeln)Zum Expertenwissen

Security first: Die Hardware-Firewall

Eine durchdachte und gut konfigurierte Firewall ist heute in jedem lokalen Netz, das Zugang zum Internet bietet, ein Muss. Dabei genügt es nicht, auf lokalen Systemen einfach die in manchen Betriebssystemen integrierte Firewall einzuschalten und dann zu hoffen, dass diese Schaden von den Systemen abhalten wird. Es müssen vielmehr eigene Hardware-Firewalls an den zentralen Zugangspunkten eingerichtet werden. Bei komplexeren Netzen mit einer DMZ (Demilitarized Zone) können sogar mehrere Hardware-Firewalls nötig sein, um ein Maximum an Sicherheit für das lokale Netz zu gewährleisten.

Für den Privatgebrauch und das kleine Netz: Hardware-Firewall im WLAN- oder DSL-Router

Hardware-Firewalls für Privatanwender oder kleine Firmennetze sowie Abteilungen (so genannte Routing Firewalls) sind üblicherweise mit den Zugangsgeräten ins Internet hardwareseitig gekoppelt. Sie arbeiten auf Routern oder Proxyservern, welche direkt mit dem Internet verbunden sind. Dabei ist die Firewall im Betriebssystem (so genannte Firmware) des DSL- oder WLAN-Routers integriert und stellt hier Paket- und Proxyfilter zur Verfügung. Die Firewall erlaubt oder verbietet dabei Kommunikationsverbindungen zwischen dem lokalen Arbeitsplatz oder Netz (LAN) einerseits und dem Internet (WAN) andererseits, die entweder dienste- oder adressenbasiert selektiert werden. Durch mehrstufige Filtermöglichkeiten ist es bereits bei diesen kleineren Hardware-Firewalls möglich, Systeme effizient abzusichern. So bieten ausgereifte Firewalls verschiedene Möglichkeiten, Datenpakete zu filtern.

MAC-Adresse des Senders und Empfängers

Unter der MAC-Adresse werden eine weltweit einmalige 48 Bit breite Hardware-Adresse verstanden, über die jeder Netzwerkadapter verfügt. Sie dient zur eindeutigen Identifikation eines Computers im Netz. Die Hardware-Firewall kann Datenpakete nach MAC-Adressen filtern, um so sicherzustellen, dass auch wirklich nur autorisierte Geräte an der Kommunikation teilnehmen.

IP-Adresse von Sender und Empfänger

IP-Adressen werden im Internet wie auch im lokalen Netz befindlichen Geräten softwareseitig zugewiesen. Sie werden unterteilt in öffentliche IP-Adressen und bestimmte, für Intranets vorgesehene, private IP-Adressen. Um einen Computer aus dem Internet in einem internen Firmennetz ansprechen zu können, muss eine so genannte Network Address Translation (NAT) durch den Router vorgenommen werden. Die Hardware-Firewall bietet in der Regel die Möglichkeit, so genannte IP-Ranges für das interne Netz zu definieren und Datenpakete entsprechend zu filtern. In Kombination mit einem im Router meist ebenfalls integrierten so genannten DHCP-Server, der IP-Adressen dynamisch (also wechselnd) vergibt, lässt sich zusätzliche Sicherheit schaffen. Werden die IP-Adressen regelmäßig neu vergeben, ist es für einen Angreifer schwieriger, ein System zu entern, da er im internen Netz Computer nicht über deren statische IP-Adresse lokalisieren und angreifen kann.

Protokolle und Ports

Da Netzwerk-Protokolle und viele Applikationsprogramme eigene Ports verwenden, lässt sich durch gezieltes Öffnen und Schließen der Ports der Versand und Empfang von Datenpaketen noch feiner regulieren. Sind die entsprechenden Ports durch die Hardware-Firewall geschlossen, lassen sich solche - oft am Arbeitsplatz unerwünschte – Applikationen nicht mehr nutzen. Zusätzlich verringert sich weiter das Risiko eines Angriffs von außen.
Eine Hardware-Firewall, die Ports nur bei ganz bestimmten Anfragen öffnet, bietet zudem Schutz gegen Aktivitäten von Schadsoftware, die sich bereits auf den Computern im Intranet eingenistet hat. Beispielsweise versuchen Trojaner oft, durch das Öffnen von Ports so genannte Hintertüren (Backdoors) zu etablieren, mit deren Hilfe ein Angreifer die Kontrolle über die kompromittierten Computer übernehmen kann. Werden die betroffenen Ports nicht geöffnet, ist der Zugang zu den Systemen deutlich erschwert.

Fazit für den Privatgebrauch und das kleine Netz

Das Konstrukt der in einen Router integrierten Hardware-Firewall bietet außerdem eine wesentlich bessere Sicherheitsgrundlage für Privatanwender und kleine Abteilungen oder Unternehmen als eine auf einem im Netz befindlichen, herkömmlichen PC konfigurierte Firewall. Da auf einem lokalen Computer immer auch andere Software arbeitet als die eigentliche Firewall, bestehen hier Angriffspunkte, die sich Schadsoftware durch Deaktivierung oder Manipulation gezielt zunutze machen kann. Bei einer Hardware-Firewall hingegen, die nur mit zielführender Software und einem speziell angepassten Betriebssystem arbeitet, ist das Risiko von Sicherheitslöchern im System selbst deutlich niedriger als bei rein softwarebasierten Lösungen.

Hochsicherheit für große Netze: Firewall Appliances

Für große Netze und Hochverfügbarkeitsumgebungen reichen die Fähigkeiten kleiner Router mit integrierter Hardware-Firewall in aller Regel nicht mehr aus. Für diese Anforderungen werden daher so genannte Firewall-Appliances angeboten, die in Kombination mit dedizierten Routern und Switches arbeiten und deren technische Möglichkeiten auch auf diese abgestimmt sind.

Mehr Funktionalität bei Firewall Appliances

Die professionellen Hardware-Firewalls weisen daher bereits andere Anschlussmöglichkeiten auf. Üblicherweise bieten sie einen Management-Port, über den die Konfiguration und Wartung erledigt wird. Web-Interfaces zur Verwaltung der Hardware-Firewall sind in dieser Klasse unüblich. Die ebenfalls relativ wenigen LAN-Anschlüsse sind zudem nicht für einzelne Computer gedacht, sondern für den Anschluss von Switches, die ganze Netzsegmente verbinden. Gegenüber den kleineren Hardware-Firewalls für den SoHo-Bereich ist die Funktionalität der großen Firewall Appliances deutlich erweitert.

In der Regel bieten sie Unterstützung für:

• SPI (Stateful Packet Inspection) zur Paketanalyse und Filterung;
• VLAN-Betrieb (Virtual Local Area Netwoks), mit dem physikalische Netze in logische Einheiten aufgesplittet werden können;
• Verschlüsselung mit verschiedenen Algorithmen (beispielsweise DES, TripleDES, AES);
• VPN-Betrieb (Virtual Private Network), mit dem mobile Nutzer oder Filialen eines Unternehmens über eine getunnelte Verbindung an das Hauptnetz angebunden werden können;
• Schutzmechanismen gegen verschiedene Angriffsformen von außen (beispielsweise DoS- oder DDoS-Attacken);
•  die Einrichtung von ACLs (Access Control List) zur Authentifizierung zugelassener Nutzer;
•  verschiedene Routing-Protokolle (unter anderem OSPF und RIP);
• die Authentifizierung mittels RADIUS- oder LDAP-Servern;
• eine effiziente Bandbreitenregulierung.

Zertifizierung der professionellen Hardware-Firewalls

Selbstverständlich sind die professionellen Hardware-Firewalls nach verschiedenen ISO-Standards zertifiziert und weisen auch eine ICSA-Zertifikation auf. Ihre interne Betriebssoftware basiert meist auf speziell angepassten Betriebssystemen und ist updatefähig durch einen so genannten Flash-Mechanismus. Da de facto alle professionellen Hardware-Firewalls kaskadierbar sind, können bei der Integration neuer Netzsegmente die Firewalls entsprechend dem Bedarf angepasst werden.

Grundlegende funktionelle Anforderungen an eine Hardware-Firewall

• Protokollierfunktion: Eine Hardware-Firewall, die professionellen Ansprüchen genügen soll, muss eine ausgereifte Protokollierfunktion (Logging) aufweisen, wobei diese zudem auch für weniger versierte Anwender und Administratoren aussagekräftig sein sollte. Anhand der Logdateien kann der Administrator eventuelle Lücken in seiner Firewall-Konfiguration aufspüren und diese beseitigen.
• Alarmfunktion: Genauso wichtig ist eine in die Hardware-Firewall integrierte Alarmfunktion, die den Administrator bei auffälligen Verbindungsversuchen informiert. Dies kann beispielsweise durch eine Mail geschehen, was bei den meisten professionellen Hardware-Firewalls ab Werk integriert ist.
• Umfassender Schutz in der Grundeinstellung: Bereits in den Grundeinstellungen nach Inbetriebnahme der Firewall sollte ein möglichst umfassender Schutz für das interne Netz gegeben sein, um auch ohne umfangreiche und zeitraubende Konfigurationsarbeiten und Testläufe einen Basisschutz zu bieten.
• Werkseitig geschlossene Ports: Aufgrund der bekannten von Trojanern aufgebauten und aus dem Intranet abgehenden Verbindungen sollte eine Hardware-Firewall die entsprechenden offenen Ports bereits werkseitig geschlossen halten.
• Application-Gateway-Definition: Um mögliche Verbindungsaufbauten von Schadsoftware in das Internet zu unterbinden, sollte bei einer guten Hardware-Firewall die Möglichkeit bestehen, diese als Application-Gateway zu nutzen. Hierbei ist es ausschließlich vordefinierten Anwendungen gestattet, Webzugriffe zu etablieren.
• VPN-Tunnel: Sind auch Heimarbeitsplätze an das firmeneigene Intranet angebunden, so ist es zwingend nötig, dass die eingesetzte Hardware-Firewall als VPN-Gateway (Virtual Private Network) fungieren kann, um getunnelte und verschlüsselte Verbindungen zuzulassen.
• VPN-Endpunkt: Bei der Vernetzung von verschiedenen Geschäftsstellen eines Unternehmens ist es zwingend nötig, dass die eingesetzte Hardware-Firewall in den Geschäftsstellen jeweils als VPN-Endpunkt konfiguriert werden kann.
• Zugriff auf externen Contentfilter: Die Hardware-Firewall sollte vor allem in größeren Netzen die Möglichkeit bieten, auf einen externen Contentfilter zugreifen zu können oder diesen selbst bereitstellen. Damit ist es möglich, potenziell schädliche Inhalte wie beispielsweise ActiveX oder java_script zu filtern.
• Synchronisation der Verbindungsdaten: In Hochverfügbarkeitsumgebungen muss die Möglichkeit gegeben sein, dass die Hardware-Firewall-Systeme ihre Verbindungsdaten permanent untereinander synchronisieren, um so im Falle eines Ausfalls einer einzelnen Firewall in Echtzeit den Datenverkehr umleiten zu können.
• Zentral zugängliche Logfunktion: Insbesondere in größeren Clustern, in denen mehrere Firewalls arbeiten, muss eine zentral zugängliche Logfunktion bestehen, die im Falle eines Alarms ohne Aufwand erkennen lässt, auf welcher Hardware-Firewall die verdächtige Verbindung besteht. Hierbei ist es natürlich auch notwendig, dass die Logfunktion jedes einzelne übertragene Paket protokolliert, nicht nur die eigentlichen Verbindungsdaten.
• Beschränkung des Tunnelings: Die Hardware-Firewall sollte die Möglichkeit bieten, das sogenannte Tunneling zu beschränken. Bei dieser Form der Kommunikation werden durch getunnelte Verbindungen Daten übertragen und die Firewall wird dabei umgangen. Um dies einzuschränken, können auf guten Hardware-Firewalls sogenannte Whitelists geführt werden, die den Zugriff auf bestimmte Server einschränken.