Firewall

Eine Firewall ist ein Sicherheitssystem, das den Netzwerkverkehr zwischen verschiedenen Netzwerken oder Netzwerksegmenten überwacht, filtert und kontrolliert, um unerwünschte Zugriffe zu blockieren.

Eine Firewall ist ein fundamentales Sicherheitselement in der IT-Infrastruktur, das als Schutzbarriere zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken fungiert.

Der Begriff stammt ursprünglich aus dem Bauwesen und bezeichnet dort eine Brandschutzmauer. In der IT übernimmt die Firewall eine ähnliche Funktion: Sie verhindert, dass schädlicher Datenverkehr von einem Netzwerk in ein anderes gelangt.

Firewalls analysieren den ein- und ausgehenden Netzwerkverkehr anhand definierter Regeln und entscheiden, ob Datenpakete durchgelassen oder blockiert werden. Sie sind ein zentraler Bestandteil jeder Netzwerksicherheitsstrategie und werden sowohl in Unternehmensnetzwerken als auch auf Privatrechnern eingesetzt.

Funktionsweise einer Firewall

Eine Firewall arbeitet nach dem Prinzip der Paketfilterung. Jedes Datenpaket, das die Firewall passieren will, wird anhand verschiedener Kriterien geprüft:

• Quell-IP-Adresse: Woher kommt das Paket?
• Ziel-IP-Adresse: Wohin soll das Paket gesendet werden?
• Portnummern: Welcher Dienst wird angesprochen (z.B. Port 80 für HTTP, Port 443 für HTTPS)?
• Protokoll: Handelt es sich um TCP, UDP oder ICMP?
• Verbindungsstatus: Ist das Paket Teil einer bestehenden Verbindung?

Basierend auf einem Regelwerk (auch Policy genannt) entscheidet die Firewall, ob ein Paket:

• Erlaubt (ACCEPT): Das Paket darf passieren
• Abgelehnt (REJECT): Das Paket wird blockiert und der Absender erhält eine Fehlermeldung
• Verworfen (DROP): Das Paket wird stillschweigend blockiert ohne Rückmeldung

Arten von Firewalls

Paketfilter-Firewall

Die einfachste Form einer Firewall arbeitet auf den OSI-Schichten 3 und 4 (Netzwerk- und Transportschicht). Sie prüft jedes Paket einzeln und unabhängig von anderen Paketen.

Vorteile:

• Hohe Geschwindigkeit
• Geringe Ressourcenanforderungen
• Einfache Konfiguration

Nachteile:

• Keine Anwendungserkennung
• Kann durch fragmentierte Pakete umgangen werden
• Kein Schutz vor Angriffen auf Anwendungsebene

Stateful Inspection Firewall

Diese Firewall-Art merkt sich den Zustand von Netzwerkverbindungen und kann so intelligentere Entscheidungen treffen. Sie erkennt, ob ein eingehendes Paket zu einer bestehenden, vom internen Netzwerk initiierten Verbindung gehört.

Beispiel: Wenn ein Benutzer eine Webseite aufruft, merkt sich die Firewall diese ausgehende Verbindung. Antwortpakete vom Webserver werden automatisch zugelassen, ohne dass dafür eine explizite Regel existieren muss.

Application Layer Firewall

Diese Firewalls arbeiten auf OSI-Schicht 7 und können den Inhalt von Datenpaketen analysieren. Sie verstehen Anwendungsprotokolle wie HTTP, FTP oder SMTP und können protokollspezifische Angriffe erkennen.

Funktionen:

• Deep Packet Inspection (DPI)
• URL-Filterung
• Erkennung von Malware im Datenstrom
• Anwendungskontrolle

Next-Generation Firewall (NGFW)

Moderne Firewalls kombinieren verschiedene Sicherheitsfunktionen in einem Gerät:

• Klassische Paketfilterung
• Stateful Inspection
• Intrusion Prevention System (IPS)
• Anwendungserkennung und -kontrolle
• SSL/TLS-Inspektion
• Benutzeridentitätserkennung
• Threat Intelligence Integration

Hardware-Firewall vs. Software-Firewall

Hardware-Firewall

Eine Hardware-Firewall ist ein dediziertes physisches Gerät, das zwischen dem internen Netzwerk und dem Internet positioniert wird.

Einsatzgebiete:

• Unternehmensnetzwerke
• Rechenzentren
• Netzwerkperimeter

Vorteile:

• Hohe Leistung und Durchsatz
• Schützt alle Geräte im Netzwerk
• Separate Hardware entlastet Server und Clients
• Schwer zu manipulieren oder zu deaktivieren

Beispiele: Cisco ASA, Fortinet FortiGate, Palo Alto Networks, pfSense Appliance

Software-Firewall (Personal Firewall)

Eine Software-Firewall läuft als Programm direkt auf einem Computer oder Server.

Einsatzgebiete:

• Arbeitsplatzrechner
• Notebooks
• Server

Vorteile:

• Kostengünstig oder kostenlos
• Anwendungsbezogene Regeln möglich
• Schützt auch vor Bedrohungen aus dem internen Netzwerk

Beispiele:

• Windows: Windows Defender Firewall (integriert)
• Linux: iptables, nftables, ufw (Uncomplicated Firewall)
• macOS: Integrierte Firewall, Little Snitch

Firewall-Regeln erstellen

Das Erstellen von Firewall-Regeln folgt dem Prinzip \"Deny by Default\" oder \"Allow by Default\":

• Deny by Default (Whitelist): Alles ist verboten, nur explizit erlaubte Verbindungen werden zugelassen. Dies ist der sicherere Ansatz.
• Allow by Default (Blacklist): Alles ist erlaubt, nur bekannte schädliche Verbindungen werden blockiert. Weniger sicher, aber einfacher zu verwalten.

Beispiel einer einfachen Regelkonfiguration

# Erlaube eingehende SSH-Verbindungen
Quelle: beliebig
Ziel: 192.168.1.10
Port: 22/TCP
Aktion: ERLAUBEN

# Erlaube HTTP und HTTPS zum Webserver
Quelle: beliebig
Ziel: 192.168.1.20
Ports: 80/TCP, 443/TCP
Aktion: ERLAUBEN

# Blockiere alle anderen eingehenden Verbindungen
Quelle: beliebig
Ziel: 192.168.1.0/24
Ports: alle
Aktion: VERWEIGERN

Best Practices für Firewall-Regeln

• Prinzip der minimalen Rechte: Erlaube nur, was wirklich benötigt wird
• Dokumentation: Jede Regel sollte kommentiert und dokumentiert sein
• Regelmäßige Überprüfung: Entferne veraltete oder nicht mehr benötigte Regeln
• Logging aktivieren: Protokolliere blockierte und verdächtige Verbindungen
• Regeln ordnen: Spezifische Regeln vor allgemeinen Regeln platzieren

Firewalls im OSI-Modell

Firewalls können auf verschiedenen Schichten des OSI-Modells arbeiten:

Firewall-Konzepte in der Netzwerkarchitektur

Perimeter-Firewall

Die klassische Firewall am Netzwerkrand schützt das interne Netzwerk vor dem Internet. Sie ist die erste Verteidigungslinie.

Interne Firewall

Firewalls zwischen verschiedenen Netzwerksegmenten (z.B. zwischen Entwicklung und Produktion) implementieren das Prinzip der Netzwerksegmentierung.

DMZ-Konzept

Öffentlich erreichbare Server wie Webserver oder Mailserver werden in einer demilitarisierten Zone (DMZ) platziert. Zwei Firewalls trennen Internet, DMZ und internes LAN voneinander.

Firewall-Konfiguration unter Linux

Die gängigsten Firewall-Tools unter Linux:

iptables

# SSH erlauben
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# HTTP und HTTPS erlauben
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Bestehende Verbindungen erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Alles andere blockieren
iptables -A INPUT -j DROP

ufw (Uncomplicated Firewall)

# Firewall aktivieren mit Standardregel \"deny\"
ufw default deny incoming
ufw default allow outgoing

# SSH erlauben
ufw allow ssh

# Webserver erlauben
ufw allow 80/tcp
ufw allow 443/tcp

# Firewall aktivieren
ufw enable

Firewall in der Prüfungsvorbereitung

Für IT-Auszubildende sind folgende Aspekte prüfungsrelevant:

• Definition und Aufgaben einer Firewall
• Unterschied zwischen Paketfilter und Stateful Inspection
• Positionierung im Netzwerk (Perimeter, DMZ)
• Regelwerke verstehen und interpretieren
• OSI-Schichten und Firewall-Typen zuordnen
• Typische Ports und Protokolle kennen

Typische Prüfungsfragen

1. Erklären Sie den Unterschied zwischen einer Paketfilter-Firewall und einer Stateful Inspection Firewall.
2. Welche Informationen kann eine Firewall auf OSI-Schicht 3 und 4 auswerten?
3. Was bedeutet das Prinzip \"Deny by Default\"?
4. Beschreiben Sie das DMZ-Konzept und die Rolle der Firewall dabei.
5. Nennen Sie Vor- und Nachteile von Hardware- und Software-Firewalls.

Zusammenfassung

Eine Firewall ist ein unverzichtbarer Bestandteil der Netzwerksicherheit. Sie schützt Netzwerke vor unbefugtem Zugriff, indem sie den Datenverkehr anhand definierter Regeln filtert. Von einfachen Paketfiltern bis hin zu modernen Next-Generation Firewalls gibt es verschiedene Typen mit unterschiedlichen Fähigkeiten. Für IT-Auszubildende ist es wichtig, die Grundprinzipien zu verstehen und Firewall-Regeln lesen und erstellen zu können.