Was ist eine Firewall?

Eine Firewall befindet sich zwischen einem Netzwerk und dem Internet und kontrolliert den Datenfluss sowohl in das Netzwerk als auch aus ihm heraus, um potenzielle Sicherheitsbedrohungen zu stoppen.

Share facebook icon linkedin icon twitter icon email icon

Firewall

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie können eine Firewall definieren
  • Sie können erklären, warum eine Firewall sowohl eingehende als auch ausgehende Daten überprüfen muss
  • Sie verstehen die Unterschiede zwischen einer Proxy-Firewall und einer WAF

Was ist eine Firewall?

Eine Firewall ist ein Sicherheitssystem, das den Netzwerk-Traffic auf Basis einer Reihe von Sicherheitsregeln überwacht und steuert. Firewalls befinden sich normalerweise zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk; bei dem nicht vertrauenswürdigen Netzwerk handelt es sich oft um das Internet. Beispielsweise verwenden Büronetzwerke häufig eine Firewall, um ihr Netzwerk vor Online-Bedrohungen zu schützen.

what-is-a-firewall

Firewalls entscheiden darüber, ob ein- und ausgehender Traffic durchgelassen wird. Sie können in Hardware, Software oder eine Kombination aus beidem integriert werden. Der Begriff „Firewall“ (deutsch: „Brandwand“) ist eigentlich einer Baupraxis entlehnt, bei der Wände zwischen oder durch die Mitte von Gebäuden gebaut werden, um das Übergreifen von Feuer zu verhindern. Auf ähnliche Weise sollen Netzwerk-Firewalls Online-Bedrohungen aufhalten.

Warum eine Firewall verwenden?

Der primäre Anwendungsfall für eine Firewall ist die Sicherheit. Firewalls können eingehenden böswilligen Traffic abfangen, bevor er das Netzwerk erreicht, und verhindern, dass sensible Informationen das Netzwerk verlassen.

Firewalls können auch zur Filterung von Inhalten verwendet werden. Beispielsweise kann eine Schule ihre Firewall so konfigurieren, dass Benutzer in ihrem Netzwerk keinen Zugriff auf nicht jugendfreies Material erhalten. Ebenso betreiben Regierungen in einigen Ländern eine Firewall, die Menschen innerhalb des jeweiligen Landes daran hindern kann, auf bestimmte Teile des Internets zuzugreifen.

Dieser Artikel konzentriert sich auf die für die Sicherheit konfigurierten Firewalls, von denen es mehrere Typen gibt.

Welche verschiedenen Typen von Firewalls gibt es?

Proxy-basierte Firewalls:

Dabei handelt es sich um Proxys*, die sich zwischen Clients und Servern befinden. Clients stellen eine Verbindung zur Firewall her und die Firewall überprüft die ausgehenden Pakete. Anschließend stellt sie eine Verbindung zum beabsichtigten Empfänger (dem Webserver) her. Wenn wiederum der Webserver versucht, eine Antwort an den Client zu senden, fängt die Firewall diese Anfrage ab, untersucht die Pakete und liefert die Antwort dann in einer separaten Verbindung zwischen der Firewall und dem Client. Eine Proxy-basierte Firewall verhindert quasi eine direkte Verbindung zwischen Client und Server.

Eine Proxy-basierte Firewall ist so etwas wie ein Türsteher vor einem Club. Dieser Türsteher stoppt Gäste, bevor sie den Club betreten, um sicherzustellen, dass sie nicht minderjährig oder bewaffnet sind oder in anderer Weise eine Bedrohung für den Club und seine Gäste darstellen. Der Türsteher hält die Gäste auch auf dem Weg nach draußen an, um sicherzustellen, dass sie sicher nach Hause kommen und nicht vorhaben, betrunken Auto zu fahren.

Der Nachteil eines Türstehers vor dem Club ist, dass, wenn viele Leute gleichzeitig versuchen, den Club zu betreten oder zu verlassen, die Schlange lang ist und es für zu Verzögerungen kommt. In ähnlicher Weise ist ein wesentlicher Nachteil einer Proxy-basierten Firewall, dass sie eine Latenz verursachen kann, insbesondere in Zeiten mit starkem Traffic.

*Ein Proxy ist ein Computer, der als Gateway zwischen einem lokalen Netzwerk und einem größeren Netzwerk, wie z. B. dem Internet, fungiert.

Stateful Firewalls:

In der Informatik ist eine „stateful“ („zustandsabhängige“) Anwendung eine Anwendung, die Daten aus früheren Ereignissen und Interaktionen speichert. Eine Stateful Firewall speichert Informationen über offene Verbindungen und verwendet diese Informationen zur Analyse des ein- und ausgehenden Traffics, anstatt jedes einzelne Paket zu prüfen. Da sie nicht jedes Paket überprüfen, sind Stateful Firewalls schneller als Proxy-basierte Firewalls.

Stateful Firewalls verlassen sich bei der Entscheidungsfindung auf eine Menge Kontext. Wenn die Firewall beispielsweise ausgehende Pakete auf einer Verbindung aufzeichnet, die eine bestimmte Art von Antwort anfordern, lässt sie eingehende Pakete auf dieser Verbindung nur dann zu, wenn diese die angeforderte Art von Antwort liefern.

Stateful Firewalls können auch Ports* schützen, indem sie alle Ports geschlossen halten, es sei denn, eingehende Pakete fordern den Zugriff auf einen bestimmten Port an. Dies kann eine als Portscanning bezeichnete Angriffsform abwehren.

Eine bekannte Schwachstelle im Zusammenhang mit Stateful Firewalls besteht darin, dass sie manipuliert werden können, indem ein Client dazu gebracht wird, eine bestimmte Art von Informationen anzufordern. Sobald der Client diese Antwort anfordert, kann der Angreifer dann böswillige Pakete, die diesen Kriterien entsprechen, durch die Firewall senden. Beispielsweise können unsichere Websites JavaScript-Code verwenden, um diese Art von gefälschten Anfragen von einem Webbrowser aus zu erstellen.

*Ein Netzwerkport ist ein Ort, an den Informationen gesendet werden; es ist kein physischer Ort, sondern eher ein Kommunikationsendpunkt.

Next-Generation-Firewalls (NGFW):

Dabei handelt es sich um Firewalls, die über die Fähigkeiten traditioneller Firewalls verfügen, aber auch eine Vielzahl zusätzlicher Funktionen zur Abwehr von Bedrohungen auf anderen Ebenen des OSI-Modells einsetzen. Zu den NGFW-spezifischen Funktionen zählen:

    WAFs dabei, Webanwendungen vor böswilligen Benutzern zu schützen. Eine WAF trägt zum Schutz von Webanwendungen bei, indem sie den HTT--Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht. Sie schützt Webanwendungen typischerweise vor Angriffen wie Cross-Site Forgery, Cross-Site-Scripting (XSS), File Inclusion, SQL Injection und mehr.

    Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während eine Proxy-basierte Firewall die Identität eines Client-Rechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, indem er Clients die WAF passieren lässt, bevor sie den Server erreichen.

    Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Rate Limiting durch Änderung der WAF-Richtlinien schnell umgesetzt werden. Kommerzielle WAF-Produkte wie die Web Application Firewall von Cloudflare schützen täglich Millionen von Webanwendungen vor Angriffen.