Die Firewall – Dein Freund und Helfer

FirewallOhne angepasste Firewall ins Internet zu gehen, kann böse enden.

Heute wird es mal ein wenig technisch. Aber das muss einfach mal sein.

Die Gefahren im Internet haben sich in den letzten Jahren schleichend verändert.

Deswegen sollte das Thema „Firewall“ im Kopf auch ein wenig nachjustiert werden. Der Grund ist relativ einfach: Früher wurde fast ausnahmslos versucht, von außen in fremde Netze einzudringen. Das ist aber schon eine ganze Weile nicht mehr realistisch. Und die nächste große Herausforderung ist die Umstellung auf IPv6.


Firewalls sind heutzutage eigentlich aus keinem noch so kleinen Internet-Router mehr wegzudenken. Jedenfalls steht der Begriff immer außen auf dem Karton.

Jetzt wird es aber Zeit, sich dem Thema einmal zu nähern. Denn ein neues Adressierungsschema steht in den Startlöchern. IPv6, also das Internet Protocol Version 6. Die damit möglicherweise anstehenden Änderungen im Netzwerk sind ein gute Anlass, das IT-Konzept einmal zu hinterfragen.

Was ist eigentlich eine Firewall?

Genau an dem Punkt wird es direkt zur Streitfrage. Ein Firewall soll Angriffe von außen abwehren.

Ist das wirklich die richtige Antwort? Nur bedingt. Denn meist ist so eine Firewall zentraler Ein- und Ausgang. Und  wie im echten Leben so konzipiert, dass er als Notausgang von innen immer zu öffnen ist.

Also nennen wir es doch mal Brandschutzmauer.

Eine Brandschutzmauer trennt im Hochbau aber Bereiche eines Gebäudes so voneinander ab, dass ein Brand in einem Teil des Gebäudes nicht oder nur schwer in einen anderen Teil jenseits der Wand übergreifen kann.

Die Brandschutzmauer kennt kein innen oder außen. Sie kennt nur zwei Bereiche, die getrennt werden müssen. Sie kennt Durchgänge, die immer geschlossen zu halten sind und nur im Einzelfall geöffnet werden. Diese Durchgänge schließen sich automatisch nach dem Durchschreiten oder lösen einen Alarm aus, wenn sie bewusst blockiert werden.

Der Unterschied in der Definition ist gravierend. Die meisten Firewalls im IT-Bereich sind nämlich so aufgebaut, dass sie innen und außen unterscheiden. Und eben nur ein Übergreifen von außen nach innen verhindern. Meistens wird der Innenbereich immer als wenig risikobehaftet definiert. Und genau darauf sind heutzutage 90% der Angriffe abgestellt.

Sie haben den Begriff Trojaner schon einmal gehört?

Die Trojanischen Pferde der IT sind der Ansatz, das zu nutzen und den Angriff umzukehren. Man schmuggelt Schadsoftware in den inneren Netzwerkbereich und kann in der Regel völlig problemlos und über lange Zeit unentdeckt Daten nach außen senden.

Ein klassischer „Internet 1.0“-Angriff nennt sich „Werksbesichtigung“. Einfach mal anmelden, in der Hosentasche ein paar präparierte USB-Sticks einschmuggeln und unter die Werkbank rutschen lassen. Früher oder später findet den jemand beim Fegen. Und raten Sie einmal, was passiert, wenn darauf „Urlaubsfotos 20xx“ steht.

Die meisten Netzwerke können mit Angriffen von innen nicht umgehen.

Nehmen Sie sich doch einmal den Router zu Hause zur Hand. Sehen sie sich an, was dort eingestellt wird. Nahezu alle Geräte sind so eingestellt, dass Daten von innen nach außen ungehindert passieren dürfen.

Natürlich werben alle Hersteller damit, eine Firewall integriert zu haben. Aber das ist oft keine Firewall, sondern ein einfacher Paketfilter.


Paketfilter vs. Statefull Inspection vs. Application Layer Firewall

Drei Begriffe, drei Funktionsweisen. Sehen wir uns das einmal an.

Der „Paketfilter“ macht nichts anderes, als zu bewerten, ob Daten von einem Rechner zum anderen dürfen. Hierzu werden die „Hausanschriften“ der Daten ausgewertet. Also IP-Adresse (Straße) und die Portnummer (Lage der Wohnung). Es kann also lediglich unterschieden werden, ob es sich um einen Zugriff mit dem Webbrowser oder um einen Anruf per Voice over IP handelt. Diese Bewertung KANN in beide Richtungen stattfinden. Die Realität sieht anders aus, dazu später.

Zum „Statefull Inspection“ Filter wird es, wenn das Gerät beginnt sich zu merken, ob eine Verbindung von aussen auch wirklich von innen angestoßen wurde. Viele kleine Paketfilter kommen nämlich mit so etwas ins Stolpern. Da wird dann einfach so getan, als wenn das von außen ankommende Paket die Antwort eines Webservers ist. Zugegriffen wird dann aber innen auf den einen Port der Datenbank oder eine Dateifreigabe.

Eine „Application Layer Firewall“ geht weiter. Sie analysiert nicht nur Anschrift und Wohnung, sondern sieht in das gelieferte Paket hinein. Wenn dann in einer vorgeblichen Antwort eines Webservers in Wirklichkeit Datenbankabfragen oder Sprachdaten stecken, wird sie zumindest eine Warnung ausspucken.


Jetzt zum Thema IPv6. Denn das wird spannend.

Im aktuellen Adressierungsschema sind eigentlich schon vor langer Zeit die Adressen ausgegangen. Es gibt nämlich lediglich etwa 4,2 Milliarden eindeutige IPv4 Adressen. (255*255*255*255)

Faktisch sind es sogar noch weniger, da die nutzbaren Adressen in bestimmte Blöcke aufgeteilt wurden und nicht frei transferierbar sind.

Um diesem Problem zu begegnen, hat man bestimmte Netzwerke definiert, die nicht im Internet transportiert werden. (10.0.0.0, 172.16.0.0, 192.168.0.0)

Diese IP-Adressen sollten in Netzen benutzt werden, die nicht an das öffentliche Netz angeschlossen wurden. (Daher auch die Begriffe Private und Public IPs!) Das war natürlich kein Zustand, denn irgendwann musste jedes private Netz auch ins Internet.

Also erfand man IP-NAT. (Viele halten das noch heute für eine Sicherheitsfunktion…)

Bei diesem Verfahren wird am Router/der Firewall im Grunde nur die Adressierung verändert. Der „Bestellschein“ mit der internen IP-Adresse wird kopiert und archiviert, bekommt als Absender die IP-Adresse der Außenseite aufgeklebt und wird vermittelt. Bei dem dann als Antwort eintreffenden Paket wird dann einfach in einer Liste nachgesehen, wer das Paket angefordert hat und dann wird es nach innen vermittelt.

Richtig in der Argumentation ist dabei, dass niemand außen sieht, wer das Paket innen haben will. Ebenso richtig ist, dass ein Antwortpaket nur nach innen darf, wenn in der Liste steht, dass es angefordert wurde. Das könnte man auch als Sicherheit durch Verschleierung sehen.

Aber das geht leider nur bei einer bestimmten Art des Paketbestellung. Es gibt auch Pakete, die einfach auf gut Glück angefordert und dann geliefert werden. Das Internet Protokoll unterscheidet nämlich zwischen dem verbindungsorientierten TCP (Transmission Control Protocol) und dem verbindungslose UDP (User Datagram Protocol). Das ist vor allem bei Streaming oder Sprachdaten der Fall. Also bei genau der Art von Daten, die immer mehr werden im Internet.

NAT wird oft als Sicherheitsfunktion angepriesen, was es aber einfach nicht ist. Es ist maximal eine Verschleierung von Informationen, die nach außen gelangen. Und oft werden für UDP-Daten Löcher in Firewall gebohrt, damit die Anwender dahinter bestimmte Dienste Problemlos nutzen können.

Die meisten kleineren Firewall blockieren nur den eingehenden Datentransfer.

Das lange Zeit auch ausreichend, da die meisten Angriffe eben von außen kamen. In Zeiten, in denen Betriebssysteme und Anwendungsprogramme immer komplexer und medialer werden, sind immer häufiger Angriffe zu sehen, die sich Schwachstellen am Rechner hinter der Firewall zu Nutze machen.

Über besonders präparierte Webseiten greifen Hacker und Kriminelle gezielt bekannte Schwachstellen von Web-Browsern und deren Plug-Ins an. Der eigentliche Schadcode wird dann von innen aus mit einem ganz normalen Download nachgeladen und im Hintergrund installiert.

Damit wird auch der Ansatz „Alles darf raus“ zum Risiko.

Es muss wieder vermehrt darüber nachgedacht werden, Netzwerke so aufzubauen, das eben nicht jeder Rechner das Recht hat, sich im Internet zu bewegen. Ein vernünftig aufgebautes System aus Proxy-Servern im lokalen Netzwerk, die als einzige (Und zwar nach Anmeldung!) ins Netz dürfen, macht noch immer Sinn. Denn damit kann ein Trojaner eben nicht seinen Schadcode direkt nachladen.

Also nehmen wir die Einführung von doch IPv6 zum Anlass.

IPv6 kommt ohne NAT aus. Es gibt genug Adressen für jedes Gerät der Erde. Selbst für ein paar Geräte im Orbit und auf dem Mond bleibt genug.

Hier wird es dann noch einmal brenzlig. Es gibt keine privaten und öffentlichen Adressen mehr. Alles ist öffentlich. Und kann auch direkt angesprochen werden. Jeder Rechner in meinem lokalen Netzwerk kann DIREKT mit einem in einem entfernten Netzwerk sprechen.

Es wird also dringend Zeit, das IT-Brandschutzkonzept zu hinterfragen.

 


Datenschutz - Impressum

IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen