Von: Dr. Johannes Wiele
Längst nicht mehr jeder IT-Spezialist setzt den Begriff "Firewall" automatisch mit "Sicherheit" gleich. Gerade weil die Security-Systeme der ersten Stunde inzwischen ganz selbstverständlich zu jedem Unternehmensnetz gehören, geraten sie manchmal an den Rand des Blickfelds der Spezialisten. Den Verkaufszahlen allerdings schadet das Dasein jenseits des Sicherheits-Hypes bisher aber nicht. Ähnlich wie Virenschutzprogramme, die ebenfalls zur Standardausstattung von IT-Infrastrukturen beliebiger Größe gehören, verkaufen sich Firewalls nach wie vor gut.
Die Hersteller der Systeme müssen sich trotzdem mit der Situation vertraut machen, dass irgendwann ein Sättigungsgrad des Marktes erreicht sein könnte, der zumindest ihr Wachstum verlangsamt. Die Reaktion auf diese Gefahr schlägt sich direkt in der technischen Weiterentwicklung der Produkte nieder, die ihnen neue Einsatzgebiete und Marktsegmente erschließen soll.
Verwirrende Funktionsvielfalt
Durchgesetzt haben sich inzwischen Application-Layer-Firewalls oder Proxys, die nicht nur einzelne Pakete auf korrekte Header und Inhalte untersuchen, sondern auch HTTP-Messages rekonstruieren, die mehrere Pakete lang sein können. Diese Systeme können zum Beispiel prüfen, ob RFC-Standards eingehalten werden, Unicode verwendet wird, URL-Längen stimmen, oder ob ein Befehl enthalten ist, der ein Root-Skript ausführen soll. Setzen Unternehmen Firewalls ein, die sowohl Paketfilterung als auch Application-Layer-Funktionalität aufweisen, haben sie somit auch einen zusätzlichen Schutz gegen Würmer zur Verfügung.
Auf die Käufer der Produkte, die bisher vor allem zwischen grundlegenden Konzepten wie Paketfilter und Application-Layer-Firewall, zwischen dem Marktführer und seinen Konkurrenten und zwischen verschiedenen Ansätzen zur Hochverfügbarkeit zu wählen hatten, kommen aber auch völlig neue Auswahlkriterien zu, die sich nicht allein auf technische Leistungskriterien für die Firewall-Kernfunktionen beschränken:
- Eine Reihe von Firewalls steht wahlweise als Softwareprodukt oder als Appliance zur Verfügung, also als gekapselter, meist via Web-Interface gesteuerter Rechner mit eigenem Betriebssystem und Software, der ohne lange Installation einfach ins Netz eingeschleift wird. Die Hürde der korrekten Firewall-Installation bleibt trotzdem bestehen, aber die meisten Appliances lassen sich auch von Dienstleistern oder zentralen Administrationszentren aus bequem fernwarten.
- Manche Produkte enthalten zusätzlich ein Intrusion-Detection-System, das typische Verläufe von Hackerangriffen kennt und Alarm schlägt, wenn es ähnliche Vorgänge im Netz entdeckt.
- Andere Firewalls bieten Content-Security-Funktionen, bei denen die Kommunikation noch eingehender als bei der Application-Layer-Firewall auch auf Dateiebene überwacht wird. Auf diese Weise ist es möglich, zum Beispiel tendenziell gefährliche Makro- und Skriptbefehle abzufangen, die vom Virenscanner nicht entdeckt werden.
- Wer die Verantwortung für einen freien Webzugriff im Unternehmen scheut oder seinen Mitarbeitern zutraut, dass sie Web und E-Mail für private oder gar strafbare Zwecke missbrauchen, kann Firewalls mit Website-, Text- und Bildblockern einsetzen.
- Schließlich gibt es all dies - vor allem für kleinere Netzwerke - auch in fast beliebiger Mehrfachkombination.
Auf den ersten Blick erscheint die neue Funktionsvielfalt als reine Bereicherung für den Kunden. Tatsächlich kann jedes der genannten Kombiprodukte sinnvoll sein, aber ebenso gut ist es möglich, dass es im Unternehmen für den Aufbau eines maßgeschneiderten Sicherheitskonzeptes hinderlich ist. Im Idealfall nämlich bestimmt ein Anwender vor der Entscheidung für ein bestimmtes System, welchen Bedarf er in welchem Bereich wirklich hat. Seine spezifische Netzstruktur und die in seinem Betrieb laufenden Anwendungen können es beispielsweise erfordern, dass er zwar mit einer preiswerten Firewall auskommt, aber ein besonders leistungsstarkes Content-Security-System benötigt, weil er häufig mit externen Mitarbeitern Office-Dokumente und -Formulare austauscht. Anderswo wiederum mag Intrusion Detection von besonderer Bedeutung sein, weil eine bestimmte Server- und Anwendungskombination das Netz zum begehrten Ziel für Zombie-Programme macht, die Hacker für Distributed-Denial-of-Service-Attacken machen.
Vorsicht bei Kombi-Produkten
Die Kombi-Produkte nun mögen verlockend günstig sein, aber sie nehmen auf die Unterschiede bei den Bedürfnissen der Anwender wenig Rücksicht. Die Content-Filter zum Beispiel, die inzwischen viele Firewall-Hersteller für ihre Systeme lizenziert haben, suggerieren eine Vergleichbarkeit der Leistung, die real gar nicht besteht. In den Zusatzprodukten stecken nämlich so unterschiedliche Techniken wie rein listengestütztes Blocken oder Freigeben von Websites, reine Content-Security gegen unbekannte Skript-und Makroviren, echte Textfilter mit Ansätzen der Analyse grammatischer Strukturen und Algorithmen, die sogar pornographische Bilder anhand von Farbtönen und Formen mit einiger Sicherheit erkennen. Die Vielfalt kommt zustande, weil die Firewall-Anbieter zwar richtig erkennen, dass ihre Produkte ohne zusätzliche Content-Filter ein Netz nicht schützen können, dann aber Partner anhand der Lizenzbedingungen oder der puren technischen Brillanz der Angebote auswählen.
Jedes dieser Systeme löst im Grunde ein anderes, ganz spezielles Problem und behindert bei falscher Konfiguration die Netzwerkkommunikation. Eins der Produkte einfach auf den Verdacht hin zu installieren, dass die dazugehörige Sicherheitslücke oder Bedrohung im eigenen Netz wohl vorhanden sein mag, hat mit echter Planung von Sicherheitsmaßnahmen nichts zu tun.
Für Intrusion-Detection-Software gilt ähnliches: Wer solch ein System erfolgreich betreiben will, muss sich damit intensiv auseinandersetzen, um wichtige von unwichtigen Alarmen zu unterscheiden und die Warnschwelle so einzustellen, dass sie dem Geschehen im eigenen Netz gerecht wird. Wer von den "Zugaben" wirklich profitieren will, muss also extrem kritisch vorgehen und sich in vielen Bereichen der IT-Sicherheit gut auskennen.