Firewall & VPN – IT-Infrastruktur Teil 2

Was ist eine Firewall und ein VPN - IT-Infrastruktur Teil 2

Das Internet kann auch ganz schön böse sein. Oder besser gesagt nicht das Internet ist böse, sondern jene Zeitgenossen, die das World Wide Web nicht dazu nutzen, um lustige Katzenbilder zu verbreiten, sondern nur darauf warten, dass ein Unternehmen unzureichend geschützt ans Netz geht.

Um ebendiese draußen zu halten ist der Einsatz einer leistungsfähigen Firewall unumgänglich.

Fakt ist: Sobald zwischen dem lokalen Netz und dem Internet eine Verbindung besteht, können Angreifer versuchen Daten zu stehlen, zu verschlüsseln oder das Firmennetz lahm zu legen.


Was ist eine Firewall?

Die „Feuerwand“ ist praktisch eine Trennlinie zwischen dem öffentlichen (ungeschützten) Netzwerk (sprich dem Internet) und dem internen Firmennetzwerk. Im Grunde kann man sich eine Firewall also wie eine letzte Verteidigungslinie vorstellen, in der alle Regeln des Datenaustausches definiert und festgelegt werden. Das kann man übrigens in beide Richtungen verstehen: zum einen werden damit unerwünschte Zugriffe VON außen blockiert, und zum anderen können auch Zugriffe NACH außen eingeschränkt werden – beispielsweise indem man Webseiten mit pornografischen Inhalten blockt. Das klingt zwar einfach, ist es aber nicht wirklich. Denn während Mitarbeiter selbstverständlich Zugriff auf Internet-Dienste wie WWW, E-Mail, FTP und Remote-Verbindungen haben müssen, will man der Internetöffentlichkeit doch gleichzeitig auch einen Zugang zur eigenen Homepage bieten. Und da kommt dann die Firewall ins Spiel.


Zentrale Rolle im Sicherheitskonzept

Selbst wenn eine Firewall bei weitem nicht ausreicht, um ein ansprechendes Sicherheitsniveau im Firmennetzwerk zu gewährleisten (auch Antivirenscanner usw. müssen hier beispielsweise sein), spielt diese doch eine zentrale Rolle im gesamten Sicherheitskonzept. Dementsprechend sorgfältig sollte auch die Konfiguration der Firewall vorgenommen werden. Ohne entsprechendes Expertenwissen können sich schnell Fehler einschleichen und die Feuerwand ist so löchrig wie der sprichwörtliche Schweizer Käse. Die vorgegebenen Grundeinstellungen „Blockiere den Zugriff vom Internet aufs Unternehmensnetzwerk“ und „Erlaube den Zugriff vom Unternehmensnetzwerk aufs Internet“ sind jedenfalls so gut wie wertlos. Nicht zuletzt auch deswegen, weil es bei eventuell vorhandenen Niederlassungen und Außenstellen ja durchaus sinnvoll und erwünscht sein kann, Wartungszugriffe (der eigenen IT-Abteilung) zu ermöglichen.

Hard- und Software

Vereinfacht gesagt bezeichnet der Begriff Firewall eine Gruppe von Netzwerkkomponenten (Hard- und Software), die an der Schnittstelle zweier Netze sitzen. Über diese Komponenten muss der gesamte Datenverkehr zwischen einem privaten und dem öffentlichen Netz laufen, um so die Einhaltung der Sicherheitsrichtlinien zu gewährleisten. Die Firewall untersucht dabei praktisch alle Datenpakete und lässt nur die unverdächtigen passieren. Natürlich sollte die Firewall auch selbst gegen Eindringlinge immun sein. Sobald nämlich ein Hacker eingedrungen ist, ist die Firewall nutzlos. Frei nach dem Motto: ist der Einbrecher schon drinnen, hilft es auch nichts mehr die Wohnungstüre abzuschließen. Auf die Sicherheit der Firewall sollte daher ebenso viel Augenmerk gelegt werden, wie auf die Sicherheit des privaten Netzwerks selbst.

Wie bereits erwähnt übernimmt eine Firewall die Absicherung des Datenverkehrs zwischen LAN (privates Netzwerk) und WAN (Internet) und scannt deswegen praktisch den kompletten Datenverkehr. Dieser läuft heutzutage fast immer über die Internet-Protokolle HTTP und HTTPS ab. Das heißt, diese Protokolle und die dazugehörigen Ports stehen in praktisch allen Firewalls offen. Da auf diese Weise die unterschiedlichsten Datenübertragungen stattfinden, vom Messenger über Cloud-Speicher bis hin zu Diensten wie Microsoft Office 365, hat eine Old-School-Firewall, die die Datenströme nur nach Port oder Protokoll klassifiziert, eigentlich keine Chance mehr zu erkennen, ob über die jeweilige Verbindung Schädlinge verteilt oder Daten geklaut werden. Aus diesem Grund spielt das Blockieren nicht benötigter Dienste (bzw. Ports) auch keine große Rolle mehr.

Barracuda Firewall

Next Generation Firewall

Hier kommen nun die so genannten „Next-Generation-Firewalls“ ins Spiel. Die Bezeichnung wurde von Gartner Research (einem Marktforschungsinstitut im IT-Bereich) definiert. Eine Firewall der nächsten Generation kann im Datenstrom auch Anwendungen und Benutzer erkennen. Dazu gehört ein integriertes Intrusion Prevention System (IPS), die Identifikation von Anwendungen und Protokollen unabhängig vom genutzten Port und die Berücksichtigung externer Datenquellen, wie zum Beispiel Verzeichnisdienste mit Benutzerdaten. Oder anders erklärt: Next-Gen-Firewalls nehmen sämtliche HTTP- und HTTPS-Transfers genau unter die Lupe, untersuchen Datenströme, filtern infizierte Daten aus, analysieren das Nutzerverhalten und entscheiden anhand vorgegebener Regeln, welche Übertragungen durchgelassen werden und welche nicht. Auch hier gilt wieder, dass das jeweilige Sicherheitslevel von den Einstellungen (Policies) abhängt. Werden diese korrekt konfiguriert, ist das System danach nicht nur sicherer, sondern sorgt auch für weniger Ärger bei den Mitarbeitern (Usern), weil dann kaum „Fehlalarme“ auftreten.

Die Grenzen einer Firewall

Ein wesentlicher Vorteil einer zentralen Firewall ist, dass sie das gesamte Sicherheitsmanagement vereinfacht – es muss nicht mehr jeder Rechner einzeln konfiguriert werden. Da sie zudem als einzige Schnittstelle zum Internet dient, können Angriffe nur an diesem Punkt stattfinden und lassen sich demnach auch leichter erkennen. Firewalls nützen allerdings nichts, wenn Angriffe aus den eigenen Reihen stattfinden. Wenn Mitarbeiter Daten auf USB-Sticks kopieren möchten, dann können sie das auch tun. Ebenso helfen Firewalls nicht gegen Viren und Trojaner, da sie nicht jedes Datenpaket nach potenziellen Schädlingen durchsuchen können. Auch gegen so genannte Data-driven Attacks können Firewalls nichts ausrichten. Dabei handelt es sich um scheinbar harmlose Daten mit versteckten Codes zur Änderung von Sicherheitseinstellungen. Sehr wohl können Firewalls aber Denial-of-Service (DoS)-Attacken abwehren.

VPN – Sicherer Zugriff von außen

Ebenfalls in der Firewall eingerichtet wird der gesicherte, verschlüsselte, mobile Zugriff auf die Unternehmensdaten bzw. auf das Unternehmensnetzwerk – beispielsweise für Mitarbeiter im Außendienst oder im Homeoffice. Durch ein Virtual Private Network (VPN) können sich Remote-Computer nämlich so verhalten, als würden sie sich direkt im sicheren Unternehmensnetzwerk befinden. Das heißt: man sitzt mit dem Notebook zu Hause und kann aufs Firmennetzwerk zugreifen, als ob man gerade am Schreibtisch im Büro sitzen würde.

Jede Seite der Verbindung ist ein VPN-Endpunkt, die Verbindung zwischen ihnen nennt man VPN-Tunnel. Auf beiden Seiten muss zudem eine entsprechende Software installiert sein. Aufgrund der Verschlüsselung ist es für Außenstehende fast unmöglich, die Daten im VPN-Tunnel abzufangen oder Störungen zu verursachen. Da ein VPN-Endpunkt die Firewall des Unternehmens ist, gilt hier: je leistungsfähiger die Firewall ist, desto sicherer und stabiler ist auch die VPN-Verbindung.

Weitere Infos:

IT-Sicherheit für Unternehmen
VPN-Lösungen


Alle Beiträge zum Thema IT-Infrastruktur:

Internetzugang, Bandbreite und E-Mail - IT Infrastruktur Teil 1

Internetzugang, Bandbreite & E-Mail

IT-Infrastruktur – einfach erklärt – Teil 1


Firewall & Virtual Private Network

IT-Infrastruktur – einfach erklärt – Teil 2

Netzwerk, Switches und WLAN - IT-Infrastruktur Teil 3

Netzwerk, Switches & WLAN

IT-Infrastruktur – einfach erklärt – Teil 3

Server und Virtualisierung - IT-Infrastruktur Teil 4

Server und Virtualisierung

IT-Infrastruktur – einfach erklärt – Teil 4

VoIP-Telefonanlagen - IT Infrastruktur Teil 5

Vorteile VoIP-Telefonanlagen

IT-Infrastruktur – einfach erklärt – Teil 5

 IT-Sicherheit - IT-Infrastruktur Teil 6

Grundlagen der IT-Sicherheit

IT-Infrastruktur – einfach erklärt – Teil 6


Interesse an Firewall oder VPN Lösungen?

Wir stehen für alle Fragen sehr gerne zur Verfügung und beraten dich gerne.
Wir sind auch unter +43 1 3434333 und office@techbold.at erreichbar.
Unsere vollständigen Kontaktdaten findest du hier

Sebastian Hinterseer, Leiter Kundenbetreuung

Sebastian Hinterseer

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.