valentint - Fotolia
Wie unterscheiden sich Stateful und Stateless Firewalls?
Zwischen Stateful und Stateless Firewalls gibt es auf den ersten Blick nur geringe Unterschiede. Erst bei einer genaueren Analyse offenbaren sich andere Einsatzzwecke in Firmen.
Wenn sich ein Unternehmen zwischen einer Stateful oder einer Stateless Firewall entscheiden muss, erscheinen die Unterschiede möglicherweise zunächst gering. Sie haben aber durchaus erhebliche Auswirkungen.
Stateless Firewalls gehören zu den ältesten und grundlegendsten Firewall-Architekturen. Sie werden bereits seit Beginn der Nutzung von Firewalls eingesetzt. Ursprünglich wurden sie auch als Paketfilter-Firewalls bezeichnet.
Diese Bezeichnung ist jedoch irreführend, da sowohl Stateful als auch Stateless Firewalls Pakete filtern. Der Unterschied liegt darin, wie sie diese Aufgabe erfüllen und welchen Aufwand sie dabei betreiben. So untersuchen Stateful Firewalls zum Beispiel auch den Inhalt eines Paketes, seine sogenannte Payload, während Stateless Firewalls nur den Header des Paketes prüfen.
Außerdem überwacht eine Stateful Firewall nicht nur alle übersandten Datenpakete, sondern auch den Kontext der anderen Verbindungen im Netzwerk. Eine Stateless Firewall prüft dagegen weder den Inhalt der Datenpakete, noch die Verbindungen in ihrer Gesamtheit, sondern nur einzelne Stellen. Dafür verwendet sie vorher festgelegte Regeln, die zum Beispiel für den eingehenden Traffic gelten und auf Portnummern oder Zieladressen basieren.
Stateful Inspection hat sich in den vergangenen Jahren zum Standard in Unternehmen entwickelt. Der Großteil der modernen Firewall-Systeme in Unternehmen verwendet mittlerweile diese Technik.
Aber untersuchen wir die Unterschiede etwas ausführlicher und helfen Ihnen anschließend dabei, die am besten passende Lösung für Ihre Tätigkeiten zu finden.
Stateful Firewalls
Stateful Inspection Firewalls behalten einen fortlaufenden Überblick über die gesamten Verbindungen im Netzwerk. Dabei verwalten sie eine Liste mit allen getroffenen Entscheidungen. Stateless Firewalls arbeiten ohne eine solche Liste.
Die sogenannte Zustandstabelle oder State Table ermöglicht einer Stateful Firewall, alle aktuell offenen Verbindungen zu überwachen. In ihr verzeichnet sie unter anderem den Kontext der jeweiligen Verbindungen, aber auch die verwendeten Quell- und Zieladressen, die Länge der Pakete, den Protokollstatus und Informationen über die genutzten Ports.
Wenn neue Datenpakete an der Firewall eintreffen, kann das System diese Daten dann mit den Informationen auf der Zustandstabelle vergleichen. Auf diese Weise stellt eine Stateful Firewall fest, ob die Daten zu einer bereits aufgebauten Verbindung gehören.
Das bedeutet, dass eine Zustandstabelle aus den Daten über alle durch eine Stateful Firewall aufgebauten oder geblockten Verbindungen besteht. Bei künftigen Entscheidungen zum Filtern von Datenpaketen kann die Firewall dann auf die darin gesammelten Informationen zugreifen, um so leichter zwischen erwünschtem und unerwünschtem Traffic unterscheiden zu können.
Durch diese Vorgehensweise können Stateful Firewalls auch weit umfangreichere Attacken erkennen und verhindern, als wenn sie sich nur mit jeweils einzelnen Paketen beschäftigen würden.
Fortgeschrittene Methoden bei der Inspizierung von Paketen durch Stateful Firewalls können auch einen TCP-Handshake zwischen verschiedenen Geräten überwachen und einzelne Pakete als Teil einer bereits existierenden Verbindung erkennen und zuordnen.
Der deutlich erhöhte Aufwand beim Monitoring führt jedoch zu stärkeren Belastungen bei der Performance und Geschwindigkeit einer Stateful Firewall. Das macht sie anfälliger gegen DDoS-Attacken (Distributed Denial of Service) sowie gegen MitM-Angriffe (Man-in-the-Middle). Außerdem können durch die höhere Komplexität leichter Schwachstellen im Code übersehen werden, die dann wiederum von Hackern ausgenutzt werden können, wenn die Software nicht kontinuierlich auf dem jeweils aktuellen Stand gehalten wird.
Stateless Firewalls
Stateless Firewalls setzen dagegen auf vordefinierte Regeln und Access Control Lists (ACLs, Zugriffskontrolllisten), um Entscheidungen über jedes einzelne Paket treffen zu können. Dazu prüfen sie unter anderem den Header eintreffender Pakete und untersuchen, welche Quell- und Zieladressen, Portnummern und welche Protokolle (zum Beispiel TCP oder UDP) verwendet werden.
Das führt dazu, dass Stateless Firewalls weniger Fähigkeiten zum Filtern von Traffic haben. Da sie zudem auf ACLs zurückgreifen, sind ihre Filterleistungen auch nur so gut wie die durch die Nutzer oder die Admins festgelegten Regeln. Stateless Firewalls sind deswegen anfälliger gegenüber Fehlern als Stateful Firewalls, wenn ihre ACLs nicht sorgfältig verwaltet und immer wieder an die aktuellen Umstände angepasst werden.
Ihre vergleichsweise Einfachheit macht Stateless Firewalls aber auch weniger ressourcenintensiv und damit schneller, so dass sie selbst mit hohen Bandbreiten besser zurande kommen. Aufgrund ihrer eingeschränkten Fähigkeiten sollten sie in einem Unternehmen jedoch nur in speziellen Fällen eingesetzt werden.
Am häufigsten sind Stateless Firewalls deswegen an dem zentralen Router in einem Unternehmen zu finden, der direkt mit dem Internet verbunden ist. Diese Geräte enthalten oft ein grundlegendes auf Paketfiltern basierendes Regelset, um offensichtlich unerwünschten Traffic ausfiltern zu können und um die Belastung einer oft direkt hinter diesem Router untergebrachten Stateful Firewall zu reduzieren.
Tipps zur Entscheidung zwischen Stateful oder Stateless Firewalls
Stateless Firewalls sind häufig auch in den Home-Routern zu finden, die von privaten Anwendern genutzt werden. Sie eignen sich aber ebenso für kleinere Unternehmen mit begrenzten Budgets und relativ wenig Traffic, der verarbeitet werden muss.
Weniger Datenverkehr bedeutet meist, dass auch weniger Bedrohungen erkannt werden müssen. Dadurch wird das Erstellen der Regeln für eine Stateless Firewall zu einer vergleichsweise überschaubaren Aufgabe. Stateless Firewalls werden aber oft auch in internen Netzwerken in besonderen Szenarien eingesetzt. Ein Beispiel dafür sind etwa die Abgrenzungen zwischen virtuelle LANs (VLANs).
Bei größeren Unternehmen, die mehr Traffic managen müssen, sieht es jedoch anders aus. Hier bieten Stateful Firewalls mehr Sicherheitsfunktionen und weit mehr Fähigkeiten. Wenn ein Unternehmen allerdings zahlreiche moderne Applikationen einsetzt, die mehr als einen einzigen Port für ihre unterschiedlichen Dienste verwenden oder ihren Port öfter ändern, dann sollte eine Next-Generation Firewall (NGFW) in die Überlegungen mit einbezogen werden. Diese Sicherheitslösungen konzentrieren sich auf die Inspektion der Anwendungen und nicht nur auf die Verbindungen im Netzwerk.
