DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Fünfzig Schattierungen der Firewall

Fünfzig Schattierungen der Firewall

Heute beginnen wir eine Serie von Beiträgen, die sich verschiedenen Firewall-Typen widmen. Es wird eine 4-teilige Serie sein. Wir starten mit einer Überprüfung der grundlegenden Verarbeitungsmodi-Kategorien von Firewalls und einem Überblick über den Firewall-Modus. In den folgenden Beiträgen werden wir tiefer in die Anwendungsebenen-Firewalls: WAF und DAF, eintauchen.

In diesem einleitenden Artikel werden wir die am weitesten verbreiteten Firewall-Typen, ihre Vorteile und potenziellen Nachteile sowie aktuelle Trends und Entwicklungsperspektiven dieser Technologie diskutieren.

Eine Firewall ist die erste Verteidigungslinie gegen äußere und innere Angriffe und ein grundlegender Bestandteil einer umfassenden Sicherheitsstrategie. Firewalls werden verwendet, um unautorisierten Zugriff auf lokale Ressourcen zu verhindern und spielen eine wichtige Rolle in einem mehrschichtigen Informationssicherheitssystem. Sie kann in Hardware und Software implementiert werden oder eine Kombination aus beidem. Sie überprüft und filtert den gesamten eingehenden und ausgehenden Datenverkehr durch einen einzigen, konzentrierten Sicherheitskontrollpunkt und blockiert Anfragen, die nicht den angegebenen Sicherheitskriterien entsprechen.

Im Allgemeinen gibt es zwei Haupttechnologien, nach denen Firewalls kategorisiert werden können: Paketfilterung und Anwendungsschicht-Filterung. Jeder Firewall-Typ filtert und kontrolliert den Netzwerkverkehr auf unterschiedliche Weise, aber diese beiden können sich teilweise überschneiden und können zusammen in einem System implementiert werden.

Paketfilter-Firewall

Die meisten Netzwerkgeräte nutzen Filtertechnologie. Paketfilter sind der grundlegendste Mechanismus zur Verkehrskontrolle auf Netzwerkebene. Sie erlauben das Durchlassen oder Blockieren von Paketen basierend auf den Attributen des Paket-Headers: Protokolle, Quell- und Zieladressen oder Portnummern. In einigen Fällen werden auch andere Header-Attribute analysiert, um beispielsweise festzustellen, ob das Paket Teil einer neuen oder bestehenden Verbindung ist. Paketfilter werden mithilfe von Zugriffskontrolllisten (ACLs) implementiert. Wenn ein Paket die Router-Schnittstelle erreicht, wird zuerst ermittelt, ob das Paket zugestellt werden kann oder nicht, und dann wird es auf Übereinstimmung mit dem bestehenden Regelsatz – ACL – überprüft.

Filterregeln werden nach einem der folgenden Prinzipien bestimmt:

1) Alles, was nicht ausdrücklich verboten wird, ist erlaubt

In diesem Fall lässt die Firewall Pakete passieren, solange sie keiner Sperrregel entsprechen. Dieser Ansatz ist permissiver und erleichtert die Verwaltung. Das Versäumen, alle notwendigen Regeln zu definieren, führt jedoch zu einer unsachgemäßen Konfiguration und verringert die Wirksamkeit des Sicherheitstools.

2) Alles, was nicht ausdrücklich erlaubt ist, ist verboten

In diesem Fall verweigert die Firewall das Durchlassen von Paketen, es sei denn, sie erfüllen eine positive Filterregel. Dieses Prinzip bietet ein höheres Schutzniveau. Aus Sicherheitsgründen wäre diese Option vorzuziehen, wenn das Durchlassen bestimmter Pakete erlaubt ist und alles andere blockiert wird. Einerseits beschleunigt dieser Ansatz den Konfigurationsprozess, da die Anzahl der nicht erlaubten Pakete normalerweise viel höher ist als die Anzahl der zulässigen. Andererseits erfordert jede Art zulässiger Interaktion eine oder mehrere Regeln.

Vorteile:
* Paketfilterung ist die schnellste Firewall-Technologie und weit verbreitet.
* Standardmäßig sind Netzwerk-Firewalls in den meisten Betriebssystemen und Netzwerkgeräten enthalten.
* Bei der Erstellung von Filterregeln ist es möglich, Informationen außerhalb der Header-Attribute zu verwenden, beispielsweise Zeitpunkt und Datum des Netzwerk-Paketdurchgangs.

Nachteile:
* Paketfilterung ist die am wenigsten sichere Firewall-Technologie, da sie den Datenverkehr nicht auf Anwendungsebene überprüft, was zu einer Vielzahl von Sicherheitslücken führt.
* Paketfilter arbeiten nur mit Headern und überprüfen nicht den Nutzlast des Pakets, wodurch der Zugriff durch die Firewall mit minimaler Überprüfung zugelassen wird.
* Paketfilter verfolgen den Status von Verbindungen nicht und können daher ein Paket von einer Quelle zulassen, die derzeit keine aktiven Sitzungen hat.
* Eine ordnungsgemäße Konfiguration erfordert umfangreiche Systemadministrationskenntnisse und ein tiefes Verständnis des TCP/IP-Protokollstapels.
* Paketfilter bieten keine Ereignisprotokollierung oder Alarmierung.

Anwendungs-Firewall

Anwendungs-Firewalls operieren auf der Anwendungsebene des TCP/IP-Stapels. Sie beinhalten Software und fungieren als Vermittler zwischen Client und Server. Die Filterung auf Anwendungsebene ermöglicht die Eliminierung der direkten Kommunikation zwischen zwei Knoten. Diese Art von Firewall fängt Pakete ab, die zu oder von einer Anwendung reisen, und blockiert bösartige Anfragen basierend auf den spezifischen Anwendungsinformationen. Sie zerlegen ein Paket und analysieren dessen Inhalt, einschließlich der Nutzlast, auf Unstimmigkeiten, ungültige oder bösartige Befehle.

Vorteile:
* Die Filterung auf Anwendungsebene bietet das höchste Sicherheitsniveau. Im Gegensatz zu Paketfiltern können Anwendungs-Firewalls nicht nur den Header, sondern das gesamte Netzwerk-Paket auf unangemessene Inhalte überprüfen. Eine tiefgehende Inspektion des ein- und ausgehenden Datenverkehrs gewährleistet eine größere Feinsteuerung.
* Anwendungs-Firewalls ermöglichen detailliertere Protokollierung. Protokollinformationen sind sehr nützlich für die Untersuchung von Sicherheitsvorfällen und die Umsetzung von Richtlinien.
* Anwendungs-Firewalls haben weniger komplizierte Filterregeln.

Nachteile:
* Alle erwähnten Vorteile kommen mit höheren Kosten.
* Anwendungs-Firewalls sind nicht für Geschwindigkeit und Leistung optimiert. Die tiefgehende Untersuchung des Paketinhalts dauert länger als die herkömmliche Paketfilterung, verlangsamt spürbar die Netzwerkleistung und wirkt sich negativ auf den Durchsatz aus.

Unter den Firewalls auf Anwendungsebene gibt es WAFs (Web Application Firewalls), die zum Schutz von Webanwendungen und Servern vor webbasierten Angriffen entwickelt wurden; DAFs (Database Access Firewalls), die auf den Schutz von Datenbanken abzielen; DNS-Anwendungs-Firewalls usw.

Überblick über Firewall-Modi

Proxy-Firewall

Eine Proxy-Firewall fungiert als Vermittler zwischen einem Client und einem realen Server, wobei sie die Verbindung im Namen des Clients herstellt. Um Inhalte von externen Serverhosts abzurufen, sendet der Client Anfragen an die Firewall, die wiederum basierend auf der empfangenen Anfrage eine neue Verbindung initiiert. Anfragen werden gemäß dem bestehenden Regelwerk bewertet, und die Firewall blockiert oder erlaubt die Verbindung. Wenn die Anfrage keine verbotenen Parameter enthält, gewährt die Firewall den Zugriff auf den Ursprungsserver. Nach Empfang einer Antwort vom Server validiert die Firewall diese und leitet sie, falls akzeptiert, an den Client weiter, der die Anfrage gestellt hat. Das Filtern wird basierend auf vielen Parametern implementiert, einschließlich Quell- und Ziel-IP-Adressen, Anhänge, Zeitpunkt der Anfrage usw.

Die Proxy-Firewall ist die zuverlässigste Art von Firewall. Sie gewährleistet ein erhöhtes Sicherheitsniveau durch tiefgehende Paketfilterung, Kontrolle von Anfragen und detaillierte Protokollierung. Eine Proxy-Firewall erlaubt niemals eine direkte Kommunikation zwischen einem internen Client und dem realen Server des externen Dienstes oder eine direkte Paketweiterleitung zwischen zwei Knoten. Auf diese Weise sind interne IP-Adressen von externen Servern abgeschirmt, und es besteht nur eine minimale Möglichkeit, dass jemand die Topologie des Intranets anhand der in eingehenden und ausgehenden Paketen enthaltenen Informationen analysieren könnte.

Durch die Verwendung von Audit-Protokollen können Administratoren die Benutzeraktivität überwachen und Versuche zur Verletzung der Sicherheitsrichtlinien der Firewall erkennen. Caching ermöglicht es, den Datenverkehr zu reduzieren, die Last auszugleichen und die Zeit zu verkürzen, die der Client benötigt, um auf Informationen zuzugreifen.

Reverse-Proxy-Firewall

Im Allgemeinen ist ein Reverse-Proxy ein regulärer Webserver mit einigen zusätzlichen Funktionen, einschließlich URL-Weiterleitung. Die Reverse-Proxy-Firewall arbeitet genauso wie ein Forward-Proxy mit dem einzigen Unterschied, dass ein Reverse-Proxy verwendet wird, um Server und nicht Clients zu schützen. Der Reverse-Proxy befindet sich ebenfalls zwischen dem Client und dem tatsächlichen Server, ist jedoch für den Client transparent und agiert im Namen eines Webservers. Clients sehen den Reverse-Proxy nicht; es sieht für sie so aus, als ob sie den Webserver direkt ansprechen, im Gegensatz zum Forward-Proxy, bei dem die Clients wissen, dass sie über einen Proxy verbunden sind.

Wenn ein Reverse-Proxy eine Anfrage von einem Client erhält, verarbeitet er diese nicht selbst, sondern leitet sie stattdessen an einen anderen Server oder eine Gruppe von Servern weiter und sendet die Antwort zurück an den Client. Durch das Weiterleiten von Anfragen an eine Gruppe von Servern kann die Leistung erhöht und die Last ausgeglichen werden. Der Reverse-Proxy cached auch Daten, um Netzwerk- oder Serverlast zu reduzieren. Um seine Anonymität zu wahren, fängt die Reverse-Proxy-Firewall Anfragen ab, bevor sie den Server erreichen.

Transparente Proxy-Firewall

Ein transparenter Proxy ist auch als “Bump in the Wire” bekannt. Er befindet sich am Gateway und fängt Anfragen von Clients ab. Den Clients wird der Eindruck vermittelt, dass sie sich mit dem eigentlichen Server verbinden; sie sind sich nicht bewusst, dass ein Proxy-Server ihre Anfragen vermittelt. Der transparente Proxy cached auch Inhalte und erfordert keine Konfiguration auf der Client-Seite. In diesem Modus kann die Firewall den Datenverkehr zwischen Hosts filtern.

Next Generation Firewall

Da sich der Enterprise-Netzwerk-Firewall-Markt ständig weiterentwickelt, suchen Softwareanbieter nach Möglichkeiten, über die traditionellen Firewall-Fähigkeiten hinauszugehen und Funktionen hinzuzufügen, die die Effektivität und Effizienz von Firewalls erheblich steigern würden. Next Generation Firewall ist ein integriertes System, das traditionelle Firewall-Technologie mit anderen Netzwerksicherheits-Funktionalitäten wie Deep Packet Inspection (DPI), integriertem Intrusion Protection System (IPS), SSL- und SSH-Inspektion, renommierender Malware-Erkennung usw. kombiniert.

Von Next Generation Firewalls wird erwartet, dass sie mehrere wichtige Funktionen integrieren:
* kontinuierliche Anwendungskontrolle und Schutz vor ausgeklügelten Angriffen und Einbrüchen;
* traditionelle Enterprise-Firewall-Fähigkeiten: Paketanalyse, Verkehrsfilterung und -weiterleitung, Verbindungsauthentifizierung, Protokoll- und Inhaltsblockierung, Datenverschlüsselung usw.;
* fortschrittliche Verkehrsprüfung und -analyse, einschließlich Anwendungen;
* Integration mit Drittanbieter-Enterprise-Systemen und Anwendungen (SIEM, Datenmanagementsysteme usw.);
* regelmäßig aktualisierte Sammlung von Anwendungs- und Bedrohungsbeschreibungen.

Nach und nach verlagern immer mehr Organisationen ihre Betriebsvorgänge in die Cloud und übernehmen Datenvirtualisierungstechnologien. Mit dieser Entwicklung steigt die Nachfrage nach Next Generation Firewalls, aber der Hauptfaktor, der die Marktentwicklung beeinflusst, sind die hohen Kosten für die anfängliche Systembereitstellung und den Support. Kleine und mittelständische Unternehmen zögern, in die Technologie zu investieren. Daher konzentrieren sich Anbieter, die diesen Markt bedienen, hauptsächlich auf große Unternehmen.

DataSunrise Database Firewall

DataSunrise Database Firewall funktioniert im Reverse-Proxy-Modus mit Transparent Mode auf dem Weg. Die DataSunrise-Firewall ist eine Datenbankzugriffs-Firewall und implementiert detailliertes Auditing und Filtern von Anfragen, um ein fortschrittliches Kontrollniveau und Datenbanksicherheit zu gewährleisten.

DataSunrise unterstützt alle wichtigen Datenbanken und Data Warehouses wie Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata und mehr. Sie sind herzlich eingeladen, eine kostenlose Testversion herunterzuladen, wenn Sie sie in Ihrem Unternehmen installieren möchten. Falls Sie ein Cloud-Nutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie sie aus dem AWS-Marktplatz oder dem Azure-Marktplatz erhalten.

 

Im nächsten Beitrag, der den Web Application Firewalls (WAF) gewidmet ist, sprechen wir darüber, warum Unternehmen dieser Technologie besondere Aufmerksamkeit schenken und wie sie sich von traditionellen Netzwerk-Firewalls, NGFWs (Next Generation Firewalls) und IPSs (Intrusion Prevention Systems) unterscheidet.

Nächste

WAF. Ein Ritter in glänzender Rüstung

WAF. Ein Ritter in glänzender Rüstung

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]