Worauf man beim Einsatz von Firewalls achten sollte

Was genau machen Firewalls eigentlich?

Eine Firewall dient zunächst einmal dazu, Daten im Netzwerk auf Basis vorgegebener Richtlinien weiterzuleiten oder auch zu blockieren. Dabei kommen entweder Hard- oder Software-basierte Modelle zum Einsatz. Das Ziel ihres Einsatzes ist zunächst einmal das allgemeine Risiko eines Unternehmens zu senken und gefährlichen Traffic auszufiltern, bevor er Schaden im Firmennetz anrichten kann. Dazu können Firewalls eingehende, ausgehende oder beide Arten von Daten blockieren.

Nahezu alle auf dem Markt erhältlichen Firewall-Produkte verfügen über allgemeine sowie spezifische Regeln, die für die verschiedenen Traffic-Arten gelten. Firewalls finden sich auch in vielen Netzwerkgeräten. Meist arbeiten sie auf Basis von IP-Adressen, Port-Nummern, Applikationen, Protokollarten oder einer Kombination aus diesen und weiteren Faktoren.

Auf Basis dieser Prinzipien sollten Firewalls immer dort eingesetzt werden, wo sich etwa Richtlinien ändern. Oft sind dies physische Grenzen wie unterschiedliche Netzwerksegmente für Arbeitsgruppen oder Filialen sowie natürlich die Übergänge zwischen dem öffentlichen und dem privaten Netzwerk. Je mindestens einer dieser Übergänge befindet sich direkt in jedem Arbeitsplatzrechner, in jedem Rechenzentrum und überall dort, wo ein WAN-Dienst (Wide Area Network) endet. Die meisten Firewalls nutzen dabei eine physische Netzwerksegmentierung, um ein Konzept mit unterschiedlichen Sicherheitszonen umzusetzen.

Diese Verbindung zwischen physischen Netzwerkgrenzen und Grenzen der verschiedenen benötigten Sicherheitszonen macht ein sorgfältiges Management Ihrer Firewalls so wichtig. Unter der Annahme, dass niemals der gesamte Datenverkehr an einem Netzwerkübergang erlaubt werden kann, müssen Firewalls an allen Stellen eingesetzt werden, an denen sich Daten von einem Segment in ein anderes bewegen.

Ein typisches Firmennetz besteht meist vor allem aus den Computern der Mitarbeiter, die in Arbeitsgruppen oder Subnetze unterteilt werden. Ihnen werden IP-Adressen aus einem zur Verfügung stehenden Pool zugewiesen. Diese Adressen gelten auch für ganze Filialen, die Firmenzentrale oder auch für alle Home-Office-Mitarbeiter eines Unternehmens.

Zusätzlich zu diesen Arbeitsgruppen befinden sich in den Rechenzentren in der Regel auch Server und weitere Ressourcen, die über feste IP-Adressen angesprochen werden können. Dazu kommen heutzutage auch meist zahlreiche virtuelle Maschinen und Container mit den in ihnen eingerichteten Anwendungen, die über virtuelle Adressen und ihre eigenen Subnetze angesprochen werden können. Diese Strukturen müssen ebenfalls durch Firewalls geschützt werden. Jede Stelle, an der eine Firewall eingefügt werden könnte oder sollte, hat also ihren eigenen speziellen Wert.

Best Practices für das Management von Firewalls

Firewalls auf den Rechnern der einzelnen Mitarbeiter übernehmen meist die folgenden drei Aufgaben:

1. Sie begrenzen die Möglichkeiten der Mitarbeiter auf nicht für sie freigegebene Anwendungen oder Ressourcen ihrer Workgroup zuzugreifen. Die Firewall für die gesamte Arbeitsgruppe würde den Traffic dagegen durchlassen. Deswegen hindern die individuellen Brandschutzmauern nicht autorisierte Nutzer daran, auf für sie gesperrte Ressourcen zuzugreifen.
2. Sie begrenzen zudem die Zugriffe auf weitere Computer oder Ressourcen in derselben Arbeitsgruppe, die ansonsten von keinen anderen Firewalls verhindert werden würden. Individuelle Firewalls eignen sich am besten, um einen Zugriff auf gesperrte lokale Ressourcen durch einzelne Mitglieder einer Workgroup zu vereiteln.
3. Darüber hinaus reduzieren sie die Auswirkungen einmal eingedrungener Malware, indem sie die Infektionswege unterbrechen.

Die Arbeit dieser Firewalls wird jedoch immer wieder auch durch riskante oder fehlerbehaftete Vorgehensweisen der Mitarbeiter behindert. Deswegen ist es von großer Bedeutung, sich für eine Lösung zu entscheiden, die zentral verwaltet werden kann und die verhindert, dass die einzelnen Anwender nach persönlichem Ermessen Verbindungen freigeben. Der Schutz durch eine Firewall zählt zu den wichtigsten Maßnahmen, lässt sich auf rein lokaler Ebene aber relativ leicht aushebeln.

Firewall-Konfiguration mit Arbeitsgruppen

Darüber hinaus sollten Firewalls auch an allen Gateways zu den diversen Arbeitsgruppen installiert werden. Dieses Konzept lässt sich am besten umsetzen, indem alle Mitarbeiter, die Zugriff auf bestimmte Ressourcen benötigen, in einer einzigen Arbeitsgruppe zusammengefasst werden.

Dabei ist es eventuell notwendig, bestehende physische Subnetze in kleinere Einheiten aufzuteilen, um alle Mitarbeiter in der für ihre Aufgaben optimalen Arbeitsgruppe unterzubringen. Wenn diese Zuweisungen gründlich erledigt werden, verfügen die Mitarbeiter dann nur noch über die Zugriffsrechte, die sie für ihre Tätigkeit wirklich benötigen. Individuelle Anforderungen können natürlich weiter je nach Bedarf verfeinert werden, indem weitere Firewalls auf den vorhandenen Systemen eingerichtet werden.

Beim Management von Firewalls können dieselben Prinzipien auch oberhalb von Arbeitsgruppen eingesetzt werden. Geschäftliche Einheiten wie eine größere Zweigstelle oder der Sitz der Unternehmensleitung können etwa mit ihren eigenen Lösungen ausgestattet werden. Um die Nutzung dieser Second-Level-Firewalls zu optimieren, sollten diese Einheiten jedoch jeweils einer vorgegebenen Gruppe von IP-Adressen zugewiesen werden. Außerdem sollte sich ein dedizierter Gateway-Router um ihre Konnektivität kümmern. Die Firewall kann dann direkt hinter diesem Router eingerichtet werden.

Firewalls für Arbeitsgruppen sind also nicht die einzige Möglichkeit, um Firewall-Technik sinnvoll in den Unternehmen einzusetzen. Data Center und Server müssen ebenfalls mit Firewalls geschützt werden. Sie grenzen zum Beispiel die IP-Adressen ein, die auf diese Systeme zugreifen dürfen.

Wenn sowohl Arbeitsgruppen als auch etwa Zweigstellen unterschiedliche IP-Adressen nutzen, die ihnen jeweils dediziert zugewiesen wurden, erleichtert dies außerdem die Verwaltung der Firewalls erheblich. serverseitige Firewalls erfordern jedoch einiges an Disziplin, wenn es um die Adresszuweisung für die benötigten Applikationen geht.

Die beste Methode ist, eine Gruppe von miteinander zusammenhängenden Anwendungen mit Hilfe von gemeinsamen Zugriffsregeln einem bestimmten IP-Subnetz zuzuweisen. Dieses Subnetz bekommt dann einen dedizierten Gateway-Router und eine direkt daneben platzierte Firewall. Dabei muss jedoch beachtet werden, dass die empfohlenen Vorgehensweisen für Anwendungen in Containern und für DevOps in der Regel vorgeben, dass jede Anwendung ihr eigenes Subnetz erhalten soll. Das Subnetz für alle Anwendungen ist dann ein in der Hierarchie weiter oben angesiedeltes Netz, das alle Subnetze für die verschiedenen Arbeitsgruppen und Anwendungen umfasst, die zu dieser Gruppe gehören.

Der Einsatz sowohl von Client- als auch serverseitigen Firewalls sorgt demnach dafür, dass Informationen und Anwendungen auf beiden Seiten der Verbindung zwischen einem Mitarbeiter und einer von ihm benötigten Ressource geschützt sind. Das bedeutet aber auch, dass sobald eine Zugriffsregel geändert wird, auch alle anderen von der Verbindung betroffenen Firewall-Regeln angepasst werden müssen. Sonst sind möglicherweise keine Verbindungen mehr möglich.