zur Übersicht

Die Firewall als eine Art Bodyscanner

Für jedes Unternehmen ist die Firewall essenziell; sie schützt das Rechnernetz (Netzwerk-Firewall) oder den einzelnen PC (Desktop-Firewall) vor unerwünschten (externen) Netzwerkzugriffen. Somit gehört sie zum Sicherheitskonzept einer Firma.

Basis der Firewall ist eine Softwarekomponente, die, abhängig vom Absender, dem Ziel oder den genutzten Diensten, den Zugriff auf das Netzwerk beschränkt. Dazu überwacht sie kontinuierlich den Datenverkehr und entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden oder nicht. Sie orientiert sich dabei hauptsächlich an den Adressen der Kommunikationspartner.

Damit die Firewall Zugriffe sinnvoll reglementieren kann, hilft es, ein Sicherheitskonzept zu erarbeiten, in größeren Organisationen kommen hierfür auch eigene Sicherheitsrichtlinien zum Einsatz. Dabei ist die Firewall immer als Teilaspekt des Sicherheitskonzepts zu sehen.

Bedrohungen durch Webshells sind besonders hinterlistig

Mitte April 2020 hat die NSA gemeinsam mit dem Australischen Nachrichtendienst einen Bericht veröffentlicht, der beliebte Einfallstore für Server-Angriffe auflistet (das 17-seitige Cyber Security Information Sheet, können Sie sich gerne bei uns downloaden). Dabei enthält der Artikel auch Tipps zum Aufspüren von Webshells. Bei einer Webshell-Attacke suchen Cyber-Kriminelle ganz gezielt Server aus, die sie infizieren und kapern wollen. Dabei fahnden sie in den Skript-Sprachen von Webanwendungen nach Sicherheitslücken und nutzen diese aus, um beliebige Schad-Codes auszuführen.

Die virtuelle Kommandozeile (wie man eine Webshell auch nennen könnte) lässt sich anschließend auf dem ausgewählten Server installieren und ermöglicht es auf Dateien innerhalb der Anwendung zuzugreifen und Systembefehle auszuführen. Kurz gesagt: alle Berechtigungen, die der Webserver hat, hat auch die Webshell.

Bis vor einigen Jahren handelte es sich bei Webshells um einfache HTML-Formulare, doch heutzutage bestehen sie meist aus einer Steuereinheit auf dem Rechner des Hackers und einem encodierten Teil auf dem ausgesuchten Server. Die Steuerbefehle sind komplex verschlüsselt, damit die Steuerung selbst möglichst unbemerkt erfolgt. Somit sind diese Angriffe besonders perfide und schwer zu entdecken.

Unterschiedlich effektive Firewalls

Damit z.B. eine Webshell-Attacke erst gar keinen Schaden verursachen kann, sind effektive Firewalls ein Muss. Dabei ist die Firewall als Gateway mehr, als nur ein Paketfilter! Gute Firewalls erkennen, wie auf unterschiedliche Ressourcen/Server zugegriffen wird. Aufgrund der Zunahme von Cyberkriminalität reicht es heutzutage nicht mehr aus, wenn die Firewall den Zugriff über einen einfachen Paketfilter regelt. Dabei bezieht sich der klassische Paketfilter auf die fünf Kriterien:

  1. Quell-IP
  2. Ziel-IP
  3. Quell-Port
  4. Ziel-Port und
  5. IP-Protokoll (Transmission Control Protocol – TCP / User Datagram Protocol – UDP)

Eine Weiterentwicklung stellen hybride Firewalls dar. Sie erkennen mittels Application Layer Gateways (ALGs), ob eine zu Port 80 (offizieller Port fürs Hypertext Transfer Protocol) initiierte Verbindung, tatsächlich HTTP-Traffic beinhaltet oder ob über einen Kontrollkanal ein variabler Datenkanal zwischen Client und Server verhandelt wird. Doch auch sie schaffen es nicht, der aktuellen Bedrohungslage Stand zu halten.

Den Wolf im Schafspelz erkennen nicht alle

Angreifer nutzen an sich valide Protokollstrukturen aus, um sich illegalen Zugang zu den Unternehmensressourcen zu erschleichen. Daher ist es so wichtig, dass die Firewall nicht nur die 5 klassischen Kriterien als Entscheidungsbasis heranzieht, sondern auch die Applikation erkennt, die sich hinter einem freigegebenen Port verbirgt. So muss sie z.B. unterscheiden können, ob es sich bei Outlook on the web (ehemals unter den Namen Outlook Web App und Outlook Web Access bekannt) wirklich um einen Mitarbeiter handelt, der seine E-Mails abruft oder ob ein Hacker versucht, sich administrativen Zugang zum Server zu verschaffen.

Die Firewall muss hierbei alles blockieren, was nicht zur Applikation passt, selbst wenn es über die an sich legitimen Ports 80 oder 443 (offizieller Port fürs HTTPS) reinkommt. Firewalls, die das können, nennt man Next-Generation Firewalls. In einem früheren Blogbeitrag haben wir bereits über den Unterschied zwischen NGFW und IPS berichtet.

Facebook ist nicht gleich Facebook

Wenn eine Firewall nicht nur stumpf nach dem alten Regelwerk vorgeht, kann sie auch dabei helfen Firmenrichtlinien durchzusetzen. So gibt es in einigen Unternehmen Regelungen, dass es eine private Nutzung des Internetzugangs verboten ist. Für viele Aufgaben ist es jedoch unerlässlich, im Netz zu recherchieren, Kontakt zu Herstellern aufzunehmen o.ä., wird der Nutzerzugriff aufs Internet also gänzlich untersagt, verhindert man damit eine zeitgemäße Erledigung der Arbeitsaufgaben.

Einige klassische Firewalls können zumindest via URL-Filter unterscheiden, ob ein Nutzer auf eine zugelassene Website zugreift (z.B. Wikipedia) oder auf eine nicht erwünschte Seite (z.B. Facebook). Eine Next-Generation Firewall kann hier noch deutlich feingranualere Informationen als Entscheidungsbasis heranziehen. So kann z.B. die Palo Alto Firewall verschiedene Varianten der Facebook-Nutzung erkennen und entsprechend erlauben oder blockieren.pa_facebook_apps

Jede einzelne Varianten kann individuell zugelassen oder geblockt werden. Im Auswahlfenster der entsprechenden Apps, erfährt man zusätzlich das mit jeder Ausprägung einhergehende Risiko.

Ein tiefer(er) Blick in den Datenstrom

Um auch in verschlüsselte Datenströme blicken zu können, ist es nötig dass die Firewall auch eine SSL-Decrytion unterstützt. Schätzungen gehen davon aus, dass mittlerweile 80 % des Webtraffics in Deutschland SSL-verschlüsselt ist (Quelle: SEO Südwest). Bei Palo Alto beherrscht bereits das kleinste Modell dieses so wichtige Feature: denn Traffic, den man nicht lesen kann, kann man auch nicht kategorisieren und dementsprechend weiter behandeln.

Fazit

Alleine die Tatsache, eine Firewall im Einsatz zu haben ist noch kein Garant für einen zuverlässigen Schutz Ihrer Infrastruktur oder die wirkungsvolle Einhaltung von Compliances. Erst die Möglichkeit zur genauen Analyse und Kategorisierung des Datenverkehrs macht die Firewall effektiv.

Verfasser: Kai Krebber

Unser Team von KRICK hilft Ihnen gerne dabei, Ihre aktuelle Situation zu evaluieren und ggf. identifizierte Defizite zu beseitigen. Lassen Sie sich von uns gut und sicher beraten.

Vereinbaren Sie einen Beratungstermin mit uns!

Designed by Freepik

zur Übersicht

Kai Krebber

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net