Hardware-Firewall – das externe Sicherungssystem

Sie ist selbst Computerneulingen ein Begriff und fester Bestandteil eines jeden Sicherheitskonzepts, doch was ist eine Firewall genau? Eine erste, vereinfachte Antwort ist schnell gegeben: Eine Firewall ist ein Abwehrsystem, das einen einzelnen Computer oder ein ganzes Rechnernetzwerk vor unwillkommenen Zugriffen von außen schützt.

Natürlich gehört ein bisschen mehr dazu, um die Eigenschaften dieser nützlichen Sicherungssysteme zu beschreiben und zu verstehen. So basiert ein Firewall-System immer auf einer Softwarekomponente, deren Installationsort verrät, ob es sich um eine Personal Firewall oder um eine externe Firewall handelt. Erstere, die auch als Desktop-Firewall bezeichnet wird, stellt die bestens bekannte Abwehrkomponente auf dem Privatrechner dar, während letztere sich hauptsächlich um die Absicherung von Netzwerken kümmert. Inwiefern sich die beiden Firewall-Arten unterscheiden und durch welche Methoden die Sicherungssysteme für den Schutz von Computersystemen sorgen, erfahren Sie in den folgenden Abschnitten.

Der hauptsächliche Unterschied zwischen den beiden Firewall-Optionen sind die eingesetzten Komponenten: Eine Desktop-Firewall stellt eine reine Softwarelösung dar, die auf dem zu schützenden Computer installiert wird und den Datenverkehr zwischen diesem und dem jeweiligen Netz überwacht. Einige Betriebssysteme wie Windows liefern eine solche Software bereits mit.

Im Gegensatz dazu ist eine externe Firewall eine Kombination aus Software- und Hardwarekomponenten, die sich zwischen verschiedenen Rechnernetzen befindet und den Datenverkehr zwischen diesen Netzen überwacht – aus diesem Grund spricht man auch von einer Netzwerk- oder Hardware-Firewall. Vereinfacht gesagt ist eine externe Firewall ein eigenständiges Gerät, das dank integrierter Netzwerkschnittstellen verschiedene Netze miteinander verbindet. Damit es den Datenverkehr kontrollieren kann, sind auf diesem Gerät ein Firewall-Programm und in bestimmten Fällen auch ein Betriebssystem installiert.

Die Vorteile einer Hardware-Firewall

Externe Firewalls sind wesentlich komplexer als Personal Firewalls. Das macht sie auf der einen Seite zu einer deutlich teureren, auf der anderen Seite aber auch zu einer stabileren Sicherheitslösung. Da die Software nicht auf dem zu schützenden System selbst läuft, kann sie nicht so einfach manipuliert werden. Wird die Desktop-Firewall hingegen deaktiviert oder ausgehebelt, ist das System schutzlos ausgeliefert, oftmals ohne dass der Nutzer etwas davon mitbekommt. Ein vergleichbarer Angriff auf eine Netzwerk-Firewall führt hingegen zu einem Komplettabsturz des Geräts, was den ein- und ausgehenden Datenverkehr bis zum Neustart automatisch blockiert.

Der erhöhte Sicherheitsfaktor ist der Hauptgrund, dass Hardware-Firewalls die präferierte Lösung in Rechenzentren darstellen, aber auch für Computersysteme, die einen umfassenden Schutz benötigen, mehr als geeignet ist. Aus diesem Grund ist es nicht unüblich, sensiblen Datenverkehr z. B. von Banken bzw. Firmennetzwerken – mit oder ohne Server – ebenfalls von professionellen externen Firewalls überwachen zu lassen. Stattdessen Desktop-Firewalls für jedes einzelne involvierte Computersystem zu installieren, bringt zum einen das angesprochene Problem der leichteren Manipulierbarkeit mit sich und zum anderen einen wesentlich höheren Aufwand, da alle Programminstallationen auch noch konfiguriert werden müssen. Zusätzlich ist mit höheren Kosten zu rechnen, da für jeden Computer eine eigene Lizenz notwendig wird.

Einsatzmöglichkeiten

Personal Firewalls sind prädestiniert für den privaten Gebrauch auf dem Heim-PC, da sie kostengünstig und schnell installiert sind und in der Regel auch von unerfahrenen Computernutzern gut konfiguriert werden können. Die Bedürfnisse kleinerer Firmen, die ein überschaubares Netzwerk eingerichtet haben, können Desktop-Firewalls ebenfalls abdecken, insofern sie richtig konfiguriert werden. Zuletzt sind sie auch eine sinnvolle Ergänzung zu einer Hardware-Firewall, insofern das notwendige Budget vorhanden und der anfallende Aufwand geleistet werden kann.

Netzwerk-Firewalls sind wie erwähnt besonders dort gefragt, wo sensible Daten ausgetauscht werden. Typischerweise schützen sie ein Netzwerk, das mit dem Internet verbunden ist. Es ist aber auch die Verknüpfung an ein weiteres privates Netzwerk, das immer als potenziell unsicher gilt, möglich. Prinzipiell kann eine Hardware-Firewall ganz individuell selbst eingerichtet werden, indem eine entsprechende Firewall-Software auf einem geeigneten Gerät installiert und das Betriebssystem gehärtet, also nahezu unverwundbar gegenüber externen Angriffen gemacht wird. Letzteres wird erreicht, indem nur die fürs Betriebssystem notwendigen Programme verwendet werden. Wesentlich simpler ist allerdings die Verwendung einer Firewall-Appliance, eines fertigen, kombinierten Systems aus Hardware, gehärtetem Betriebssystem und speziell darauf zugeschnittener Firewall-Software. Hier gilt es, zwischen den folgenden drei Typen zu unterscheiden:

• Bridging-Firewall: Zwei physisch getrennte Netzsegmente werden auf der Ebene der Sicherungsschicht (Layer 2) des OSI-Modells miteinander verbunden, was die Firewall nahezu unsichtbar und unangreifbar macht. Eingehende und ausgehende Daten werden nur weitergereicht, wenn sie sich ebenfalls auf dieser unteren Ebene befinden. Um auch IP-Adressen und Ports zu filtern, kann die Bridging-Firewall im Gegensatz zur typischen Bridge auch auf höhere Protokollebenen zugreifen.

• Routing-Firewall: Routing-Firewalls sind der am meisten verbreitete Hardware-Firewall-Typ, der in nahezu allen Geräten für den privaten Gebrauch wie z. B. DSL-Routern zum Einsatz kommt. Im Vergleich zur Bridging-Firewall arbeitet dieser Typ direkt auf der Vermittlungsschicht (Layer 3) oder höher und filtert IP-Adressen und Ports direkt, ist dadurch allerdings auch für jeden im Netz sichtbar und leicht anzugreifen.

• Proxy-Firewall: Die Firewall arbeitet als Proxy zwischen Quell- und Zielnetzwerk. Die Systeme auf beiden Seiten bauen keine direkte Verbindung auf und erhalten somit keine Pakete, die direkt vom Zielsystem erstellt wurden. Angreifer können auf diese Weise nur schwer herausfinden, wo sich beispielsweise das geschützte Firmennetzwerk befindet. Da Proxy-Firewalls auf der Anwendungsebene (Layer 7) arbeiten, können sie wesentlich spezifischere Sicherheitsentscheidungen treffen als Routing- und Bridging-Firewalls. Im Gegenzug bedeutet ihr Einsatz allerdings Performance-Einbußen und setzt eine Menge Know-how bei der Konfiguration voraus.

Die wichtigste Rolle bei der jeweiligen Funktionsweise der verschiedenen Hardware-Firewall-Typen spielt die Paketfilterung. Hierbei entscheidet die Firewall auf Basis eines manuell konfigurierten Regelwerks, welche Datenpakete weitergeleitet werden sollen und welche nicht. Dabei arbeitet sie auf den OSI-Schichten 3 und 4, also der Vermittlungs- und der Transportschicht, wo sie die Pakete auf Eigenschaften überprüft, die sie dem jeweiligen Protokollheader entnimmt. Hier sind beispielsweise exakte IP-Adressen oder Ports möglich, die im Regelwerk entweder als erlaubt oder als gesperrt festgehalten sind.

Mithilfe der erwähnten Bridge oder auch mit einem Switch, der quasi eine Bridge-Erweiterung darstellt, kann die Paketfilterung zusätzlich auch auf der Sicherungsschicht, der zweiten Ebene des OSI-Modells durchgeführt werden. Dort findet die Filterung der Datenpakete nicht auf Basis der IP-Adressen statt, sondern auf Basis der MAC-Adressen, die zur Hardware-Adressierung verwendet werden.

Ferner können Firewalls nach Erweiterung auch mit zustandsorientierten Überprüfungsmethoden (Stateful Packet Inspection, SPI) filtern. Zu diesem Zweck werden in die für gewöhnlich auf Layer 3 und 4 beschränkte Paketfilterung noch die Anwendungsebene (Layer 7) und die dort festgehaltenen Nutzdaten miteinbezogen. Im Gegensatz zu einer Proxy-Firewall, die ebenfalls Zugriff auf diese Ebene hat, erlaubt die SPI-Technik allerdings nicht, diese Daten auch zu verändern.