Wie unterscheiden sich Stateful und Stateless Firewalls?

Was sind Stateless Firewalls?

Stateless Firewalls gehören zu den ältesten und grundlegendsten Firewall-Architekturen. Sie waren der Standard bei der Einführung der Firewall-Technologie. Ursprünglich wurden sie als Paketfilter-Firewalls bezeichnet, aber diese Bezeichnung ist irreführend, da sowohl Stateless Firewalls als auch Stateful Firewalls Paketfilterung durchführen, nur auf unterschiedliche Weise und mit unterschiedlicher Komplexität.

Stateless Firewalls verlassen sich auf vorgegebene Regeln in Zugriffskontrolllisten (ACLs), um Entscheidungen über einzelne Pakete zu treffen. Sie treffen Filterentscheidungen nur auf der Grundlage der in jedem Paket vorhandenen Informationen und speichern keine Informationen über den Status oder den Kontext einer Verbindung. Sie überprüfen die Quell- und Ziel-IP-Adressen, die Portnummer und den Verkehrstyp im Paket-Header, um festzustellen, ob sie mit einer Genehmigungsregel übereinstimmen.

Daher sind zustandslose Firewalls in ihrer Fähigkeit, Datenverkehr zu filtern, eingeschränkt, und da sie auf ACLs basieren, ist die Filterung nur so gut wie die vom Benutzer definierten Regeln. Stateless Firewalls sind anfälliger für Benutzerfehler, wenn ACLs nicht ordnungsgemäß verwaltet werden.

Eine Stateless Firewall hat folgende Eigenschaften:

• Bietet Netzwerksicherheit durch Scannen statischer Paketinformationen.
• Fungiert als ACL (Zugriffskontrolliste).
• Untersucht Header-Informationen in jedem Paket – Quell- und Ziel-IP-Adressen, Portnummer und Protokoll.
• Wendet Regeln auf die Netzwerk- (Layer 3) und Transportschicht (Layer 4) des OSI-Modelles an.
• Filtert Pakete nicht durch Analyse des Inhalts oder Verhaltens, sondern durch Vergleich ihrer Attribute mit vordefinierten Regeln einer ACL.
• Kann keine Informationen über den Verbindungsstatus speichern.
• Viele gängige Angriffstypen können nicht erkannt werden, darunter DDoS, Angriffe auf Anwendungsebene, bösartige Nutzlasten und Pakete außerhalb der Reihenfolge.
• Verbraucht nur minimale Systemressourcen, bietet aber dennoch eine hohe Leistung und eine geringe Latenz.
• Kostengünstiger als komplexere Stateful Firewalls.

Die relative Einfachheit von Stateless Firewalls führt dazu, dass sie weniger ressourcenintensiv und schneller sind und auch hohen Datenverkehr bewältigen können. Aufgrund ihrer Einschränkungen können sie jedoch nur in bestimmten Szenarien innerhalb eines Unternehmens eingesetzt werden.

Heutzutage werden die meisten Stateless Firewalls auf einem Router mit Internetverbindung implementiert. Ein grundlegender Regelsatz für die Paketfilterung kann offensichtlich unerwünschten Datenverkehr ablehnen und die Last auf einer Stateful-Inspection-Firewall verringern.

Zum Beispiel kann eine Regel eine Reihe von IP-Adressen definieren, die entweder auf das Netzwerk zugreifen dürfen oder blockiert werden, wenn sie in bestimmten geografischen Regionen oder über bekannte schlechte IP-Adressen generiert werden. Es können auch nur bestimmte Netzwerkprotokolle in ein Netzwerk eintreten oder es verlassen. Obwohl dies ein grober Ansatz zur Filterung des Datenverkehrs ist, handelt es sich um eine schnelle und ressourcenschonende Taktik, die es ermöglicht, hohe Datenverkehrslasten zu bewältigen.

Da sich zustandslose Firewalls auf ACLs stützen, ist die Filterung nur so gut wie die von Netzwerkadmins definierten Regeln. Dies kann zu Benutzerfehlern führen, da dieser Ansatz in der Regel mehr Regeln erfordert als zustandsbehaftete Firewalls. Beispielsweise müssen in einer zustandslosen Firewall statische Paketfilterregeln für eine ganze Reihe von Ports festgelegt werden, um Dienste wie FTP und SMTP zu durchsuchen. Die Regeln müssen sowohl eingehende als auch ausgehende Pakete abdecken. Bei einer zustandsorientierten Firewall sind nur Regeln für die Verbindungen erforderlich. Außerdem können ACLs nicht automatisch angepasst werden. Wenn sich das Netzwerk und die Benutzer weiterentwickeln, müssen ACLs manuell aktualisiert werden.

Stateless Firewalls sind auch mit anderen Einschränkungen konfrontiert. Da sie jedes Paket einzeln behandeln und nicht überprüfen können, ob ein Paket Teil einer bestehenden Verbindung ist oder in einen erwarteten Kommunikationsstatus passt, können sie keine Angriffe erkennen, die auf Paketen außerhalb der Sequenz basieren, wie beispielsweise ACK-Flood-Angriffe.

Da sie außerdem nur die Header von Netzwerkpaketen und nicht deren Inhalt überprüfen, können zustandslose Firewalls keine schädlichen Inhalte in den Nutzdaten eines Pakets erkennen. Solange ein schädliches Paket einer Weiterleitungsregel entspricht, wird es von einer zustandslosen Firewall weitergeleitet. Das bedeutet, dass sie nicht optimal für Technologien geeignet sind, die auf der Verfolgung von Verbindungszuständen basieren, wie beispielsweise die Netzwerkadressübersetzung (NAT, Network Address Translation) oder die Lastverteilung (Load Balancing).

Ungeachtet dieser Einschränkungen können Stateless Firewalls immer noch eine wichtige Rolle spielen, wenn Leistung und Skalierbarkeit entscheidende Faktoren sind – beispielsweise am Netzwerkrand, um offensichtlich unerwünschten Datenverkehr daran zu hindern, andere Sicherheitskontrollen zu überlasten.

Was sind Stateful Firewalls?

Stateful Firewalls überwachen Datenpakete und den Kontext des Datenverkehrs auf allen Netzwerkverbindungen. Einer der Hauptvorteile von Stateful Firewalls ist ihre Fähigkeit, den Kontext von Netzwerkverbindungen zu verstehen und somit intelligentere Entscheidungen darüber zu treffen, welche Pakete zugelassen und welche blockiert werden sollen. Stateful-Inspection-Firewalls, die oft auch als dynamische Paketfilter oder In-Depth-Paketinspektions-Firewalls bezeichnet werden, arbeiten ebenfalls mit Layer 3 und Layer 4, scannen jedoch den Inhalt von Datenpaketen und überwachen den Status von Netzwerkverbindungen. Sie können den Kontext des Datenverkehrs verfolgen, beispielsweise Quell- und Ziel-IP-Adressen, Paketlänge, Protokollstatus und Portinformationen.

Durch das Scannen des Inhalts von Datenpaketen und die Verfolgung offener Verbindungen können Stateful Firewalls die Bewegung von Daten und die von Benutzern und Geräten im gesamten Netzwerk gestellten Kommunikationsanfragen überwachen – etwas, das Stateless-Firewalls nicht können.

Dies geschieht durch die Pflege einer Zustandstabelle, die aus der Gesamtsumme der von der Stateful Firewall hergestellten oder blockierten Verbindungen besteht. Wenn Datenverkehr eintrifft, vergleichen Stateful Firewalls den Datenverkehr mit der Zustandstabelle, um festzustellen, ob er Teil einer bestehenden Verbindung ist, und um sicherzustellen, dass Pakete gemäß den Filterrichtlinien nacheinander durchgelassen werden. Bei zukünftigen Filterentscheidungen wird diese Historie berücksichtigt, um festzustellen, ob neuer Datenverkehr möglicherweise böswillig ist.

All diese Überwachung ist mit höheren Kosten in Bezug auf Rechenleistung und Geschwindigkeit verbunden. Stateful Firewalls können daher anfällig für DDoS- und Man-in-the-Middle-Angriffe sein und anderen Angriffen ausgesetzt sein, wenn ihr komplexer interner Code nicht auf dem neuesten Stand gehalten wird.

Eine Stateful-Firewall hat die folgenden Eigenschaften:

• Untersucht Paket-Header-Informationen und zusätzliche Nutzlastinformationen, um jede eingehende und ausgehende Verbindung zu verfolgen.
• Speichert Informationen über den Verbindungsstatus und -kontext, um aktive Netzwerkverbindungen zu verfolgen und festzustellen, ob Pakete in einer Sitzung angemessen sind – bei TCP wird der Status beispielsweise in den SYN-, ACK- und FIN-Flags wiedergegeben.
• Katalogisiert Verhaltensmuster, um zwischen sicherem und böswilligem Datenverkehr unterscheiden zu lernen.
• Überwacht mehrere Phasen einer Verbindung, um nicht logischen Netzwerkverkehr herauszufiltern, auch wenn er legitim erscheint.
• Lässt Pakete fallen, wenn sie nicht dem erwarteten Status entsprechen oder die Nutzlast nicht mit dem Header übereinstimmt.
• Verlangsamt die Durchsatzraten des Datenverkehrs bei hoher Last.
• Erkennt und blockiert bestimmte Bedrohungen oder Angriffe auf Anwendungsebene nicht, die eine detailliertere Untersuchung erfordern.

Wann eignet sich welche Firewall?

Die Entscheidung zwischen einer zustandsbehafteten und zustandslosen Firewall hängt von den spezifischen Sicherheitsanforderungen, der Netzwerkumgebung und den Anforderungen an die Leistung der Organisation ab.

Beide Ansätze können zum Schutz eines Netzwerks beitragen, aber Next-Generation Firewalls (NGFWs) bieten einen weitaus besseren Schutz. Diese Firewalls kombinieren mehrere Sicherheitstechnologien – darunter Intrusion Prevention, Anwendungstransparenz und Internetsicherheit – und nutzen Bedrohungsdaten, um unbekannte Malware zu identifizieren und zu blockieren. Da die meisten modernen Anwendungen mehr als einen Port verwenden – eine Konfiguration, die sich während einer Sitzung ändern kann – bieten NGFWs weitaus mehr Schutz als Stateful-Firewalls, die auf die rein verbindungsbasierte Überprüfung des Datenverkehrs beschränkt sind.

Unabhängig von der Art der Firewall, die ein Unternehmen einsetzt, ist es wichtig sicherzustellen, dass die Regeln wie vorgesehen funktionieren. Gleichzeitig können regelmäßige Penetrationstests und Schwachstellenanalysen Schwachstellen aufdecken, die eine Überprüfung und Aktualisierung der Firewall-Richtlinien erfordern, oder Änderungen der Signalkonfiguration signalisieren, die zur Anpassung an sich entwickelnde Bedrohungen und Geschäftsanforderungen erforderlich sind. Zentralisierte Verwaltungsfunktionen sowie Berichts- und Überwachungstools erleichtern die fortlaufende Verwaltung und Wartung erheblich. Und schließlich sollten Firewalls wie jedes andere Gerät aktualisiert werden, sobald neue Versionen oder Patches angekündigt werden.