zur Übersicht

Die Firewall als eine Art Bodyscanner

Für jedes Unternehmen ist die Firewall essenziell; sie schützt das Rechnernetz (Netzwerk-Firewall) oder den einzelnen PC (Desktop-Firewall) vor unerwünschten (externen) Netzwerkzugriffen. Somit gehört sie zum Sicherheitskonzept einer Firma.

Basis der Firewall ist eine Softwarekomponente, die, abhängig vom Absender, dem Ziel oder den genutzten Diensten, den Zugriff auf das Netzwerk beschränkt. Dazu überwacht sie kontinuierlich den Datenverkehr und entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden oder nicht. Sie orientiert sich dabei hauptsächlich an den Adressen der Kommunikationspartner.

Damit die Firewall Zugriffe sinnvoll reglementieren kann, hilft es, ein Sicherheitskonzept zu erarbeiten, in größeren Organisationen kommen hierfür auch eigene Sicherheitsrichtlinien zum Einsatz. Dabei ist die Firewall immer als Teilaspekt des Sicherheitskonzepts zu sehen.

Bedrohungen durch Webshells sind besonders hinterlistig

Mitte April 2020 hat die NSA gemeinsam mit dem Australischen Nachrichtendienst einen Bericht veröffentlicht, der beliebte Einfallstore für Server-Angriffe auflistet (das 17-seitige Cyber Security Information Sheet, können Sie sich gerne bei uns downloaden). Dabei enthält der Artikel auch Tipps zum Aufspüren von Webshells. Bei einer Webshell-Attacke suchen Cyber-Kriminelle ganz gezielt Server aus, die sie infizieren und kapern wollen. Dabei fahnden sie in den Skript-Sprachen von Webanwendungen nach Sicherheitslücken und nutzen diese aus, um beliebige Schad-Codes auszuführen.

Die virtuelle Kommandozeile (wie man eine Webshell auch nennen könnte) lässt sich anschließend auf dem ausgewählten Server installieren und ermöglicht es auf Dateien innerhalb der Anwendung zuzugreifen und Systembefehle auszuführen. Kurz gesagt: alle Berechtigungen, die der Webserver hat, hat auch die Webshell.

Bis vor einigen Jahren handelte es sich bei Webshells um einfache HTML-Formulare, doch heutzutage bestehen sie meist aus einer Steuereinheit auf dem Rechner des Hackers und einem encodierten Teil auf dem ausgesuchten Server. Die Steuerbefehle sind komplex verschlüsselt, damit die Steuerung selbst möglichst unbemerkt erfolgt. Somit sind diese Angriffe besonders perfide und schwer zu entdecken.

Unterschiedlich effektive Firewalls

Damit z.B. eine Webshell-Attacke erst gar keinen Schaden verursachen kann, sind effektive Firewalls ein Muss. Dabei ist die Firewall als Gateway mehr, als nur ein Paketfilter! Gute Firewalls erkennen, wie auf unterschiedliche Ressourcen/Server zugegriffen wird. Aufgrund der Zunahme von Cyberkriminalität reicht es heutzutage nicht mehr aus, wenn die Firewall den Zugriff über einen einfachen Paketfilter regelt. Dabei bezieht sich der klassische Paketfilter auf die fünf Kriterien:

  1. Quell-IP
  2. Ziel-IP
  3. Quell-Port
  4. Ziel-Port und
  5. IP-Protokoll (Transmission Control Protocol – TCP / User Datagram Protocol – UDP)

Eine Weiterentwicklung stellen hybride Firewalls dar. Sie erkennen mittels Application Layer Gateways (ALGs), ob eine zu Port 80 (offizieller Port fürs Hypertext Transfer Protocol) initiierte Verbindung, tatsächlich HTTP-Traffic beinhaltet oder ob über einen Kontrollkanal ein variabler Datenkanal zwischen Client und Server verhandelt wird. Doch auch sie schaffen es nicht, der aktuellen Bedrohungslage Stand zu halten.

Den Wolf im Schafspelz erkennen nicht Alle

Angreifer nutzen an sich valide Protokollstrukturen aus, um sich illegalen Zugang zu den Unternehmensressourcen zu erschleichen. Daher ist es so wichtig, dass die Firewall nicht nur die 5 klassischen Kriterien als Entscheidungsbasis heranzieht, sondern auch die Applikation erkennt, die sich hinter einem freigegebenen Port verbirgt. So muss sie z.B. unterscheiden können, ob es sich bei Outlook on the web (ehemals unter den Namen Outlook Web App und Outlook Web Access bekannt) wirklich um einen Mitarbeiter handelt, der seine E-Mails abruft oder ob ein Hacker versucht, sich administrativen Zugang zum Server zu verschaffen.

Die Firewall muss hierbei alles blockieren, was nicht zur Applikation passt, selbst wenn es über die an sich legitimen Ports 80 oder 443 (offizieller Port fürs HTTPS) reinkommt. Firewalls, die das können, nennt man Next-Generation Firewalls. In einem früheren Blogbeitrag  haben wir bereits über den Unterschied zwischen NGFW und IPS berichtet.

Facebook ist nicht gleich Facebook

Wenn eine Firewall nicht nur stumpf nach dem alten Regelwerk vorgeht, kann sie auch dabei helfen Firmenrichtlinien durchzusetzen. So gibt es in einigen Unternehmen Regelungen, dass es eine private Nutzung des Internetzugangs verboten ist. Für viele Aufgaben ist es jedoch unerlässlich, im Netz zu recherchieren, Kontakt zu Herstellern aufzunehmen o.ä., wird der Nutzerzugriff aufs Internet also gänzlich untersagt, verhindert man damit eine zeitgemäße Erledigung der Arbeitsaufgaben.

Einige klassische Firewalls können zumindest via URL-Filter unterscheiden, ob ein Nutzer auf eine zugelassene Website zugreift (z.B. Wikipedia) oder auf eine nicht erwünschte Seite (z.B. Facebook). Eine Next-Generation Firewall kann hier noch deutlich feingranualere Informationen als Entscheidungsbasis heranziehen. So kann z.B. die Palo Alto Firewall verschiedene Varianten der Facebook-Nutzung erkennen und entsprechend erlauben oder blockieren.pa_facebook_apps

Jede einzelne Varianten kann individuell zugelassen oder geblockt werden. Im Auswahlfenster der entsprechenden Apps, erfährt man zusätzlich das mit jeder Ausprägung einhergehende Risiko.

Ein tiefer(er) Blick in den Datenstrom

Um auch in verschlüsselte Datenströme blicken zu können, ist es nötig dass die Firewall auch eine SSL-Decrytion unterstützt. Schätzungen gehen davon aus, dass mittlerweile 80 % des Webtraffics in Deutschland SSL-verschlüsselt ist (Quelle: SEO Südwest). Bei Palo Alto beherrscht bereits das kleinste Modell dieses so wichtige Feature: denn Traffic, den man nicht lesen kann, kann man auch nicht kategorisieren und dementsprechend weiter behandeln.

Fazit

Alleine die Tatsache, eine Firewall im Einsatz zu haben ist noch kein Garant für einen zuverlässigen Schutz Ihrer Infrastruktur oder die wirkungsvolle Einhaltung von Compliances. Erst die Möglichkeit zur genauen Analyse und Kategorisierung des Datenverkehrs macht die Firewall effektiv.

Unser Team vom Systemhaus Krick hilft Ihnen gerne dabei, Ihre aktuelle Situation zu evaluieren und ggf. identifizierte Defizite zu beseitigen. Lassen Sie sich von uns gut und sicher beraten.

Designed by Freepik

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net