Firewalls

Was ist eine Firewall?

"Firewall"-Systeme (zu deutsch: "Brandschutzmauern") dienen dazu, einen einzelnen Rechner oder eine Gruppe von organisatorisch zusammengehörenden Rechnern gegen Angreifer aus dem übrigen Intra- oder Internet zu schützen. Zugleich können sie auch schädliche Zugriffe und die Verbreitung von Viren, Internet-Würmern usw. aus dem "Brandschutzabschnitt" heraus auf andere Systeme stoppen und damit die Auswirkungen von Sicherheitsproblemen begrenzen.

Eine solche Firewall ist entweder ein spezielles Gerät (vergleichbar mit einem Netzwerk-Router) oder ein dedizierter Rechner, der besonders für diese Aufgabe konfiguriert ist und keine Funktionen als Netzwerk-Server oder Arbeitsplatzrechner ausübt. Sie trennt das Netzwerk, das die zu schützenden Systeme miteinander verbindet, von der Außenwelt; alle Zugriffe dieser Systeme nach außen und, umgekehrt, alle Zugriffe von außen auf einen der im "Brandabschnitt" liegenden Rechner müssen durch die Firewall transportiert werden, die dabei jedes einzelne Datenpaket überprüft.

Welche Datenpakete als ungefährlich angesehen und von der Firewall durchgelassen werden, ist durch einen Satz individuell bestimmter Regeln festgelegt. Alle Pakete, die nach diesen Regeln nicht zugelassen sind, gelten als potentiell gefährlich und werden abgeblockt. Dies bedeutet einerseits, daß bestimmte Internet-Nutzungen nicht mehr möglich sind (auch wenn sie nicht unbedingt einen Schaden verursachen). Andererseits wird die Gefahr eines "Hacker-Einbruchs", also einer Ausnutzung von Schwachstellen in Betriebssystemen, Anwendungssoftware oder Systemkonfiguration durch Unbefugte, die sich damit die Kontrolle über einen Rechner verschaffen, durch eine sinnvoll konfigurierte Firewall erheblich vermindert.

Bringt eine Firewall auch Nachteile?

Grundsätzlich ja: Erstens werden Zugriffe auf das (oder aus dem) Internet abgeblockt, die beim Aufstellen der Firewall-Regeln als riskant oder zumindest als unnötig (und damit potentiell riskant) eingestuft wurden. Bestimmte Netzwerkdienste können infolgedessen gar nicht genutzt werden, oder es müssen ggf. erst die Firewall-Regeln (die sog. "Policy") geändert werden. Dies kostet Zeit (und reifliche Überlegung) und sollte nur von erfahrenen Administrator(inn)en vorgenommen werden.

Zweitens kann eine Firewall nicht alle Bedrohungen ausschalten, wie nachfolgend näher erläutert wird.

Drittens schließlich kann eine Firewall ein trügerisches Gefühl von Sicherheit erzeugen. Wenn dies dazu führt, daß Anwender sich weniger vorsichtig verhalten (und etwa mit unsicheren Browser-Einstellungen arbeiten) oder die Aktualisierung ihrer Software und das Einspielen von Sicherheits-Updates vernachlässigen, wird die insgesamt erreichte Sicherheit der Systeme reduziert statt verbessert.

Bleibt trotz Firewall ein Restrisiko bestehen?

Das Ausfiltern der ein- und ausgehenden Datenpakete geschieht meist nach den Kriterien

• IP-Adresse des Absenders (von wem kommt das Paket?)
• IP-Adresse des Empfängers (wohin soll das Paket?)
• Protokoll-Art (z.B. TCP, UDP, ICMP; die meisten gängigen Internet-Protokolle basieren auf TCP)
• Ziel-Port-Nummer (TCP/UDP: welcher Netzwerk-Dienst soll angesprochen werden?)
• zusätzlichen Kennzeichen, die z.B. erkennen lassen, ob das Paket eine neue Verbindung eröffnen soll oder zu einer bereits bestehenden Verbindung gehört

Dennoch ist es nicht möglich, mit einem Paketfilter alle Unsicherheiten auszuschließen. Beispielsweise könnte eine Webseite, deren Abruf den Nutzern im geschützten Bereich grundsätzlich möglich sein soll, JavaScript-Code enthalten, der eine Schwachstelle in einem bestimmten Web-Browser ausnutzt, um illegale Zugriffe auf die Festplatte des PC auszuführen und den PC mit einem Virus zu verseuchen. Solche Bedrohungen kann am ehesten noch ein "Application Level Gateway" ausschalten, das für ein bestimmtes Netzwerkprotokoll - etwa den WWW-Verkehr - die Datenpakete interpretiert und nach dienstspezifischen Regeln die Daten filtert oder sogar modifiziert. Dies gehört jedoch nicht zu den Aufgaben einer üblichen Firewall.

Sind "Personal Firewalls" nützlich?

Grundsätzlich kann ein PC durch eine "Personal Firewall" zusätzlich geschützt werden. Bei Windows-Rechnern handelt es sich hierbei um zusätzliche - kostenpflichtige oder auch frei erhältliche - Software (die in Windows XP eingebaute "Firewall-Funktionalität" ist eher als rudimentär zu bezeichnen und stellt keine echte Alternative dar); übliche Linux-Systeme verfügen über ein in den Systemkern integriertes Paketfilter, das mit dem iptables-Kommando (für den Kernel 2.4) administriert wird.

Oft hat sich jedoch gezeigt, daß Personal Firewalls zu einem Weniger an Sicherheit führten, weil

• nur eine sehr sorgfältige Konfiguration der Firewall das Auftreten unberechtigter oder jedenfalls nutzloser Warnmeldungen verhindern kann, zwischen denen die ernstzunehmenden Alarme nicht mehr wahrgenommen werden,
• häufig Benutzungseinschränkungen auftreten, wenn die Firewall gewünschte Verbindungen nicht zustandekommen läßt, und dann kurzerhand die Firewall-Funktion abgeschaltet wird,
• die notwendige Vorsicht beim Zugriff auf fremde Daten, Programme oder Webseiten außer acht gelassen und die notwendigen Sicherheits-Updates nicht durchgeführt werden, weil man/frau sich sicher fühlt,
• auch die Firewall-Konfiguration immer wieder angepaßt werden muß, weil sich sowohl die Bedrohungs- als auch die Nutzungsszenarien verändern - dadurch ergibt sich beim Einsatz vieler persönlicher Firewalls ein erhöhter Betreuungsaufwand, der oft nicht geleistet wird,
• es manche Schadsoftware versteht, die "Behinderung" durch eine Personal Firewall außer Kraft zu setzen, wenn sie mit Administratorrechten läuft oder das Betriebssystem keinen besonders geschützten Administrationsmodus kennt (z.B. Windows 9x/ME).

Wird das HHU-Netz durch Firewalls geschützt?

Das ZIM setzt für den gesamten Netzbereich der HHU zwei redundant betriebene Firewall-Systeme ein, die zugleich das Routing (d.h., die Weiterleitung der Daten zwischen den internen Netzen sowie der Außenwelt) durchführen. Diese filtern den aus dem Internet ankommenden Datenverkehr und blocken unerwünschte, potentiell gefährliche Verbindungen ab. Auch die aus der HHU heraus ins Internet gehenden Verbindungen werden gefiltert, um beispielsweise die Schäden gering zu halten, die von virenverseuchten PCs innerhalb unseres verursacht werden können.

Zugleich filtern die zentralen Firewalls auch den Verkehr der meisten HHU-internen Subnetze, also der einzelnen Netzbereiche, die z.B. – je nach Größe – ein Institut, ein Fach oder auch eine (kleinere) Fakultät umfassen können. In Absprache mit den jeweiligen Nutzern wurden Regeln festgelegt, die über die Zulassung von ein- und ausgehenden Paketen entscheiden.

Wenn durch die bestehenden Firewall-Regeln dienstlich erforderliche Nutzungen des Netzwerks nicht möglich sind, können natürlich die Regeln entsprechend abgeändert werden. In diesem Fall sollte über die/den im betreffenden Bereich für die Netzwerkbelange Zuständige/n Kontakt zum ZIM aufgenommen werden, damit auch vor Ort jemand über die Freigaben in der Firewall informiert ist, Bedürfnisse koordinieren und dabei helfen kann, einen sicheren Netzbetrieb zu gewährleisten.