© 2002 , Walter Scheffel
Verantwortliche für die IT- und Netzwerk-Infrastruktur sollten sich über die Datensicherheit folgende Fragen stellen:
Firewalls gehören mit zu den wichtigsten Tools zum Schutz von Unternehmensnetzwerken. Sie überwachen sozusagen die "Eingangstür" zu einem Unternehmen, schützen vorhandene Ressourcen und überprüfen alle ankommenden Kommunikationsverbindungen.
Eine Firewall ist ein aus Hardware und/oder Software bestehendes System, das entweder an der Peripherie oder innerhalb eines privaten oder geschlossenen Netzwerks errichtet wird. Die Aufgabe der Firewall ist es, nicht autorisierte Zugriffe auf dieses Netzwerk bzw. auf bestimmte Segmente dieses Netzwerks zu verhindern.
Eine Firewall kann als Software, Hardware oder eine Kombination von beiden implementiert werden. Welche Lösung dabei am sinnvollsten ist, hängt von den jeweiligen Anforderungen des Unternehmens ab. Ein wirksamer Firewall untersucht und analysiert den gesamten Datenverkehr, der aus dem Internet oder einem externen Netzwerk in das geschützte Netzwerk bzw. Netzwerksegment fließt. Bei diesem Vorgang blockiert er alle Daten, die die zuvor festgelegten Sicherheitsregeln nicht erfüllen.
Firewall -Typen und -Funktionen
Die meisten kommerziellen Firewalls
sind Hybridfirewalls, d. h. sie bestehen aus einer Kombination verschiedener
Firewall Technologien.
Grundsätzlich lassen sich Firewalls jedoch einem der folgenden Typen zuordnen:
• Paketfilterung.
Paketfilter-Firewalls werden häufig
für einfache Router eingesetzt. Sie untersuchen die ankommenden und ausgehenden IP-Pakete und
erlauben oder blockieren den Zugang aufgrund der Quell- oder Ziel-IP-Adresse
und/oder Quell- oder Ziel-TCP/UDP-Port-Nummern.
Bei der Paketfilterung prüft die
Firewall jedoch nur den IP-Paket-Header. Die mit dem IP-Paket übermittelten Daten hingegen können ungeprüft
passieren.
• Stateful Inspection
Verglichen mit den einfachen
Firewalls zur Paketfilterung bieten Stateful-Inspection-Firewalls bereits einen höheren Grad an Sicherheit. Eine Firewall, die mit
dieser Technologie arbeitet, prüft neben den
IP-Headern auch die Flags und Header-IP-Optionen innerhalb des Pakets. Auf diese Weise wird sichergestellt,
dass das Paket Teil einer autorisierten Verbindung ist. Dieser Firewall-Typ kann zusätzlich NAT-Services (NAT =
Network Address Translation) bereitstellen.
• Circuit-Level-Gateway
Ein Circuit-Level-Gateway prüft den
TCP-Prozess zur Synchronisation der Übertragung ("Handshaking"). Dieser Firewall-Typ lässt das
Zustandekommen autorisierter Verbindungen zu. Der über diese Verbindungen laufende Datenverkehr wird jedoch
nicht überwacht. Die aktiven, autorisierten Verbindungen werden aufgezeichnet und der Datenverkehr
kann nur über diese Verbindungen übertragen werden.
• Application-Level-Gateway oder
Full Application Inspection
Ein Application-Level-Gateway
filtert Pakete, indem alle im Paket enthaltenen Informationen, d. h. der
IPHeader und die vorhandenen Daten,
überprüft werden. Dieses Verfahren sorgt für doppelte Sicherheit: Die Verbindung wird nur aufgrund der
definierten Sicherheitsregeln zugelassen und muss darüber hinaus die korrekten Befehle und
Spezifikationen des Anwendungsprotokolls ausführen. Das Application-Level- Gateway erfüllt gleichzeitig die
Funktion eines Anwendungs-Proxy, d. h. es lässt keine direkten Verbindungen zwischen dem Host und den
Remote-Computern zu. Dieser Firewall-Typ bietet im Allgemeinen die höchste Sicherheit.
• Hybrid-Firewall
Hybrid-Firewalls verbinden
verschiedene Funktionen anderer Firewalls. In den meisten Fällen handelt es
sich hierbei um Paket-Inspektion und Proxy-Funktionen.
Weitere wichtige Funktionen:
Ein Firewall kann ferner eine oder mehrer der folgenden Funktionen bieten:.
Authentifizierung
Bei der Authentifizierung werden
Benutzer nach Benutzernamen und Kennwort identifiziert. Diese Anmeldefunktionen
sorgen dafür, dass nur die autorisierten Benutzer Zugriff auf
wichtige oder vertrauliche Informationen haben. Viele moderne Firewalls unterstützen die Authentifizierung
– entweder als In-Band-Authentifizierung oder Authentifizierungs-Proxies – und übernehmen damit die Funktion
von Systemen, die zwischen Firewall und den Authentifizierungs-Servern vermitteln.
Verwaltung
Firewalls können über eine Reihe von Tools
und Utilities zur Verwaltung, Überwachung und Arbeit mit Firewall-Systemen
verfügen. Eine Verwaltungskonsole mit grafischer Benutzeroberfläche,
Ereignisbenachrichtigung, Protokolldatei-Tools,
Konfigurationsberichte und/oder Paketerkennungs-Utilities sind nur einige Beispiele für diese Art von
Tools. Einige Firewalls bieten darüber hinaus zur Fehlerbehebung auch Funktionen für den Fernzugriff auf
die Betriebsumgebung des Systems.
VPNs (Virtual Private Networks)
Sowohl große als auch kleinere
Unternehmen setzen immer häufiger VPNs (Virtual Private Networks) ein, um ihre Geschäftsaktivitäten über
die Grenzen ihres Standorts hinaus zu erweitern. VPNs gewinnen vor allem für jene Unternehmen an Bedeutung, die
sich mit anderen zusammenschließen oder Verbindungen zwischen der Unternehmenszentrale und
Niederlassungen einrichten müssen. Telearbeiter oder reisende Mitarbeiter
erhalten über VPNs beispielsweise einen
sicheren Zugriff auf sämtliche Unternehmensressourcen.
Verschlüsselung
Mittels Verschlüsselung werden alle
Daten kodiert, die über öffentliche Netzwerke übertragen werden. Firewalls können Daten eines
autorisierten Benutzers verschlüsseln und diese
Daten durch die Firewall in ein öffentliches Netzwerk passieren lassen. Die Firewall, die das
empfangende Netzwerk schützt, kann dann die Nachricht untersuchen,
entschlüsseln und dem authentifizierten Empfänger
zustellen. Dank Verschlüsselungstechnologie können Firewalls inzwischen auch als VPN-Gateways
eingesetzt werden. Hierbei übernehmen sie manchmal gleichzeitig auch die Aufgabe eines VPN-Servers, indem sie
Daten schützen, die über das Internet von einem Unternehmensstandort zu einem anderen übertragen werden.
Hochverfügbarkeit und
Lastverteilung
In der Vergangenheit
waren Firewalls häufig Ursachen für Netzwerkausfälle, da der gesamte an das Unternehmen
adressierte Internet-Datenverkehr durch die Firewall passieren musste. System-Administratoren können mit
den in Firewalls integrierten Hochverfügbarkeits-/Lastverteilungslösungen bestimmte Systeme, die bereits
Datenverkehr verarbeiten, als Teil eines größeren Clusters konfigurieren. Wenn ein
Firewall-Host innerhalb dieses Clusters ausfällt, lenkt der
Hochverfügbarkeitsmechanismus den Datenverkehr auf die
funktionierende Firewall um. Dabei kommt es praktisch zu keinerlei Unterbrechung des Netzwerkbetriebs.
Network Address Translation (NAT)
Das Verbergen der tatsächlichen
Topologie geschützter Netzwerke ist ein wichtiger Bestandteil eines umfassenden
Netzwerk-Sicherheitsprogramms. Unternehmens-Firewalls können IP-Adressen
innerhalb der Netzwerke verbergen.
Protokollierung und
Berichterstellung
Moderne Firewalls verfügen im Allgemeinen über Utilities, mit denen sich Protokolldateien direkt anzeigen lassen. Firewalls können aber auch so konfiguriert werden, dass der
Sicherheits-Administrator über alle
Ereignisse auf den verschiedenen Benachrichtigungsebenen informiert wird.
Datensicherung
Damit ausgerüstete Firewalls, führen selbstständig Datensicherungen durch, bieten eine
Wiederherstellungsoption und administrieren – häufig über
einen Browser – direkt die ihnen zu Grunde liegenden System-Routen.
Firewalls auf dem Markt
Auf dem
Markt werden heute Unternehmens-Firewalls, Desktop- Firewalls, Remote-Firewalls und
Firewalls mit VPN-Funktionalität angeboten. Als Beispiel sei das Angebot von
Symantec aufgeführt.
Unternehmes-Firewalls
Zu den Unternehmenslösungen von
Symantec gehören die nachfolgenden Produkte, die durch die an anderer Stelle
behandelten Desktop-Firewalls ergänzt werden.
Symantec Enterprise Firewall sorgt für umfassenden Schutz, indem er Proxies auf der Anwendungsebene, Überprüfung der Netzwerkverbindungen und Paketfilterung in einer Architektur integriert und Schutz auf auf allen Ebenen des Netzwerk-Stacks bietet. Er umfasst darüber hinaus plattformübergreifende Verwaltung , flexible Authentifizierungsmethoden, integrierten Schutz vor Denial-of- Service-Angriffen sowie fortlaufendes System-Hardening.
Symantec Enterprise VPN, das integriert werden kann, sorgt für sichere Verbindungen zu Telearbeitern und Geschäftspartnern.
Symantec VelociRaptor ist eine umfassende Hardware- und Software-Lösung mit integrierter Firewall und VPN-Dienst. Ein ebenfalls integriertes Prüfverfahren garantiert schnelle und sichere Internet- Verbindungen sowie unternehmensweite Netzwerk-Sicherheit. Die Lösung gewährleistet eine vollständige Kontrolle über die ein- und ausgehenden Netzwerkdaten. Proxies auf Anwendungsebene, Analysen des Network Circuit und Paketfilterung sind in der Gateway- Sicherheitsarchitektur integriert. Um unbefugten Benutzern den Zugriff auf private Netzwerke und vertrauliche Informationen zu verweigern, wendet Symantec VelociRaptor verschiedene Prüftechniken an, mit denen die Daten auf allen Ebenen des Protokoll-Stacks (einschließlich Anwendungs-Proxies) verifiziert werden.
Die Symantec Firewall/VPN Appliances (Modelle 100, 200, 200R) sind integrierte Sicherheits- und Netzwerkgeräte, die einfache und sichere, aber auch kostengünstige Internet- Verbindungen zwischen Standorten ermöglichen. Diese Appliances lassen sich schnell und problemlos installieren und bieten eine maßgeschneiderte Lösung zur Sicherung des ein- und ausgehenden Datenverkehrs über Internet, E-Mail, FTP und Anwendungen. . Für Mitarbeiter, die sich auf Geschäftsreise befinden, kann ein IPSec-kompatibles Client-zu-Gateway-VPN für den Fernzugriff konfiguriert werden.
Hinweis: Dieser Artikel wurde mit Hilfe des Symantec White Paper: " Wissenswertes zu Firewalls: Sichere Schutzwälle für Ihr Unternehmen" erstellt, aus dem wesentliche Passagen übernommen wurden. Einzelheiten hier zu finden Sie bei http://www.symantec.de
© 2002 , Walter Scheffel