Wie eine deaktivierte Firewall die Netzwerksicherheit erhöhen kann

Auf die Firewall verzichten? Das klingt zunächst nach einer dummen Idee. Wir zeigen Ihnen, warum Sie ohne Firewall dennoch sicherer leben können.

Manchmal verursachen Firewalls mehr Probleme als sie verhindern. Geht es um große Server, die mit dem Internet kommunizieren, sind Netzwerk-Firewalls oftmals eine unnötige Fehlerquelle. IT-Verantwortliche und Sicherheits-Manager haben sich so lange auf Stateful-Packet-Inspection- und Proxy-Firewalls verlassen, dass allein die Idee, diese Systeme abzuschaffen an Frevel grenzt. Manchmal wären die Unternehmen allerdings ohne diese Firewalls besser dran.

Ob Sie es glauben oder nicht, der Verzicht auf solche Firewalls kann die Zuverlässigkeit und Stabilität des Netzwerks erhöhen. In diesem Tipp zeigen wir Ihnen drei verschiedene Wege, wie Ihr Leben ohne Firewall leichter wird.

„Keine Firewall“ heißt nicht automatisch dem Server droht Gefahr

Nur weil Sie keine Firewall mehr vor Ihrem Server haben, bedeutet das nicht, dass Sie Zugriffe auf den Server nicht absichern können. Einfachere und zuverlässige Techniken, etwa Router-Access-Listen und host-basierte, integrierte Paketfilter gehören mittlerweile zu allen modernen Betriebssystemen. Sie sind Teil der Systeme und bieten ordentliche Kontrollmöglichkeiten. Edge-Router beispielsweise können unverlangte Pakete einfach ignorieren und so den Overhead einer Firewall übernehmen. Wenn ein Server nur auf Port 443 reagieren soll, dann kann der Router Pakete, die andere Ports als Ziel haben, einfach ignorieren.

Ebenso effektiv und wichtig ist es, Edge-Router für die Kontrolle von ausgehenden Verbindungen zu nutzen. Ein kompromittierter Host wird mit einem externen Server Kontakt aufnehmen, um weitere Anweisungen zu empfangen. Unterbindet der Edge-Router alle nicht explizit erlaubten Verbindungen, kann der infizierte Host nicht mit dem Viren-Schreiber Kontakt aufnehmen. Die entsprechende Infektion läuft ins Leere. Ein Server, der mit dem Internet kommuniziert, sollte die Protokolle DNS und NTP unterstützen. Er sollte auch Updates von einem internen Server beziehen oder Log-Dateien an ein internes System übertragen. Das ist alles, was ein Server an Kommunikation benötigt. Selbst wenn Ihr Unternehmen noch nicht die Firewalls ablösen will, sollten Sie ihre Server mit diesen Tipps gegen Angreifer absichern.

Hosts können auf eigenen Füßen stehen

Firewalls können verschiedene Aufgaben erfüllen. Häufig gehört dazu die Absicherung von Hosts, die selbst schlecht oder gar nicht geschützt sind. Statt das Host-System an sich zu schützen, verstecken Verantwortliche die Server oftmals hinter einer Firewall. Sie hoffen, dass diese die Server vor Attacken aus dem Web sichern. Das wird aber nicht funktionieren. Schließlich ist diese Annahme nur einen Schritt von „Security through Obscurity“ entfernt.

Es wird Zeit, dass die Systemverantwortlichen die Mechanismen der Host-Sicherheit verstehen und Barrieren erstellen, mit denen die Systeme direkt geschützt werden. Dadurch können Sie zudem sicherstellen, dass Ihre Schutzfunktionen nicht von der ersten ernstgemeinten Attacke überrannt werden – sei es aus dem Internet oder aus dem lokalen Netzwerk. Denken Sie einfach daran: Je näher Ihre Schutzfunktionen an den zu schützenden Daten sind, desto einfacher wird Ihr Job.

Daten richtig behandeln verringert das Risiko

Der Kontrollverlust über einen Host ist nervig- etwa so nervig wie Graffiti an Ihrer Eingangstür. Ein großes Ärgernis ist es, wenn Kriminelle in Ihr Haus oder Ihr Netzwerk marschieren und Daten stehlen. Mit oder ohne Firewall – Hosts können kompromittiert werden. Stellen Sie also sicher, dass keine wertvollen Informationen herumfliegen, die Angreifer einfach mitnehmen können.

Das erreichen Sie mit mehreren Maßnahmen: Verschlüsselung, der Maskierung von Daten, Archivierung und dem regelmäßigem Löschen von temporären Informationen. All diese Maßnahmen können das Risiko eines kompromittierten Hosts minimieren. Wenn es nichts zu stehlen gibt oder die gestohlenen Daten für den Dieb nicht nutzbar sind, werden Sie wahrscheinlich nicht mit irgendwelchen Datendiebstählen in die Schlagzeilen kommen. Gleichzeitig minimiert eine saubere Trennung von Aufgaben und Privilegien die Gefahren. System- und Netzwerk-Admins benötigen keinen Zugriff auf alle Daten und Server. Erst recht nicht, wenn diese unternehmenskritische Informationen gespeichert haben.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de
Close