Firewall

Ein Vergleich von 3 Firewall-Systemen: Host, Netzwerk, Anwendung

Je ausgeklügelter Cyber-Angreifer werden, desto notwendiger werden effektive Sicherheitsmaßnahmen wie Firewalls. Machen Sie sich mit den Unterschieden zwischen Firewall-Systemen vertraut, um sicherzustellen, dass Sie über die geeigneten Schutzmaßnahmen für modernste Online-Sicherheit verfügen. Dies ist entscheidend, um die Sicherheitsstandards Ihres Unternehmens zu gewährleisten. Einige unterliegen möglicherweise der Einhaltung gesetzlicher Vorschriften, die diese erfordern, während es in anderen Fällen nur um gute Sicherheitspraktiken geht.

Was ist eine Firewall?

Eine Firewall ist eine Software, die oft durch Hardware ergänzt wird, die den Datenverkehrsfluss zwischen zwei Endpunkten zulässt oder einschränkt. Dies geschieht auf der Grundlage bestimmter Regeln oder vordefinierter Logik. Heutzutage filtern Firewalls hauptsächlich den Datenverkehr in der TCP/IP-Protokollsuite. Selbst in dieser speziellen Nische gibt es je nach Geschäftsbedarf eine Vielzahl von Arten und Funktionen von Firewalls. Einige führen nur eine grundlegende Verkehrsfilterung durch, während andere eine umfassende Paketprüfung auf der Ebene des Protokolls auf hoher Ebene durchführen können. Unabhängig von der Art der Firewall besteht das Ziel darin, nur den gewünschten Datenverkehr zuzulassen und den anderen Datenverkehr zu blockieren.

Wie funktioniert eine Firewall?

Eine Firewall überprüft den Datenverkehr, der sie durchquert, und ordnet diesen Datenverkehr definierten Regeln zu, um zu bestimmen, welche Maßnahmen zu ergreifen sind. Es ist fast immer im Einklang mit dem Verkehrsfluss, sodass es diesen Verkehr abfangen und möglicherweise blockieren kann. In Bezug auf TCP/IP sind nicht alle Firewalls gleich. Um 1990 waren viele Firewalls nicht zustandsbehaftet, sodass die Regeln sorgfältig erstellt werden mussten, um den Datenverkehr in beide Richtungen zu berücksichtigen.

Als Firewalls intelligenter und zustandsbehafteter wurden, wurden TCP-Sitzungen auf Anomalien überwacht, um sicherzustellen, dass die Firewall nicht umgangen werden konnte, sondern eine bestehende Sitzung erraten konnte. Dies ermöglichte, dass Firewall-Regeln nur benötigt wurden, um den Start der Sitzung in einer bestimmten Richtung zuzulassen. Von dort wird der Datenverkehr vertrauenswürdig und alle zukünftigen Pakete in einer Verbindung oder Sitzung werden zugelassen.

Immer mehr Premium-Firewalls tauchten auf, die Deep Packet Inspection bis hin zu Layer 7 des OSI durchführen konnten. Das bedeutet, dass diese Layer-7-Firewalls spezifische High-Level-Protokolle wie SMTP, HTTP, POP3, FTP und andere verstehen und tatsächlich den Datenverkehr basierend auf bestimmten Kriterien oder Anomalien innerhalb dieser High-Level-Protokollsitzungen blockieren können. Dies kann hilfreich sein, um Exploits oder bekannte Schwachstellen zu mindern. Mit dieser tiefgehenden Inspektion sprechen wir jedoch an, was normalerweise ein Intrusion Detection or Prevention System (IPS/IDS) ansprechen wird.

Was sind hostbasierte Firewalls?

Hostbasierte Firewalls sind einfach Firewalls, die auf dem betreffenden Endpunkt oder Host vorhanden sind. Dies kann ein Laptop, Server, Desktop oder irgendetwas dazwischen sein. Es ist normalerweise softwarebasiert und wird auf dem Betriebssystem installiert, wenn es nicht bereits vorinstalliert war. Windows wird beispielsweise standardmäßig mit der Windows-Firewall geliefert. Viele Antivirenprogramme verfügen außerdem über eine eigene persönliche Firewall. Unter Linux sind iptables oder firewalld zwei der gebräuchlichen hostbasierten Firewalls und oft, je nach Distribution, vorinstalliert.

Vorteile hostbasierter Firewalls

Einer der Vorteile einer hostbasierten Firewall besteht darin, dass sie eine letzte Chance bietet, schädlichen Datenverkehr abzufangen, bevor er den Host erreicht. Wenn nichts anderes den böswilligen Datenverkehr abgefangen hat, ist dies eine weitere Gelegenheit für ihn, ihn abzufangen. Während Definitionen und Regeln normalerweise auf einer höheren Ebene verwaltet werden, sind alle Probleme mit einer bestimmten hostbasierten Firewall auf den Host oder die Hosts beschränkt, die davon betroffen sind. Diese Änderungen werden normalerweise nicht synchron veröffentlicht, sondern im Laufe der Zeit eingeführt, was den Vorteil bietet, dass Probleme früher erkannt werden, bevor sie alle Hosts betreffen.

Nachteile hostbasierter Firewalls

Manchmal kann die Verwaltung hostbasierter Firewalls mühsam oder schwierig sein, insbesondere wenn die Software keine zentrale Verwaltung zulässt. Wenn die hostbasierte Firewall den Datenverkehr blockiert, kann es manchmal schwierig sein, ihn zu diagnostizieren. Außerdem ist es in der Regel am besten, schädlichen Datenverkehr so ​​nah wie möglich an der Quelle abzufangen und zu blockieren. Dadurch wird verhindert, dass das Netzwerk den Datenverkehr überhaupt sieht. Sobald es eine hostbasierte Firewall erreicht hat, befindet es sich leider am nächsten am Ziel und hat möglicherweise bereits andere vorhandene Firewalls durchdrungen.

Was sind netzwerkbasierte Firewalls?

Netzwerkbasierte Firewalls sind Firewalls, die im Netzwerk leben. Typischerweise werden sie am Rand des Netzwerks bereitgestellt, manchmal aber auch im Kern des Netzwerks. Netzwerkbasierte Firewalls blockieren in der Regel nur den Datenverkehr, der zwischen Subnetzen oder VLANs verläuft . Eines der ältesten Beispiele einer netzwerkbasierten Firewall ist die Cisco Adaptive Security Appliance (ASA). Es ist ein ziemliches Arbeitstier, das in vielen Unternehmen eingesetzt wird. CheckPoint ist ein weiteres Beispiel für eine netzwerkbasierte Firewall. CheckPoint wird tatsächlich die erste Stateful Packet Inspection Firewall zugeschrieben.

Vorteile netzwerkbasierter Firewalls

Netzwerkbasierte Firewalls können etwas einfacher zu verwalten sein, da der Footprint normalerweise kleiner ist. Viele Organisationen haben möglicherweise nur einen bereitgestellt, wo ihr internes Netzwerk auf das Internet trifft. Typischerweise werden diese auf hochspezialisierten Appliances bereitgestellt, um den Durchsatz zu optimieren und die Latenz zu minimieren. Die darauf ausgeführten Betriebssysteme sind aus Sicherheitssicht gehärtet, um die Wahrscheinlichkeit einer Kompromittierung der Appliance zu minimieren.

Wie in den Nachteilen hostbasierter Firewalls erwähnt, ist es am besten, den Datenverkehr an dem Punkt zu blockieren, der der Quelle am nächsten liegt, und das ist normalerweise eine netzwerkbasierte Firewall, insbesondere am Rand des Netzwerks. Für die meisten Unternehmen trifft hier das Internet auf ihr privates Netzwerk.

Nachteile netzwerkbasierter Firewalls

Einer der Hauptnachteile besteht darin, dass eine netzwerkbasierte Firewall den Datenverkehr zwischen Hosts im selben Subnetz normalerweise nicht blockieren kann. In vielen Fällen kann es Gruppen von Subnetzen geben, die nicht von einer netzwerkbasierten Firewall gefiltert werden können, nur weil sie im Netzwerk bereitgestellt wird. Dadurch könnte ein infizierter oder kompromittierter Host unentdeckt auf benachbarte Hosts oder Netzwerke kriechen.

Was sind anwendungsbasierte Firewalls?

Anwendungsbasierte Firewalls sind in der Regel speziell auf die Anwendungskommunikation ausgerichtet. Aus diesem Grund verstehen sie normalerweise das Protokoll. Oft handelt es sich dabei um HTTP- oder Web-Traffic. Diese Arten von anwendungsbasierten Firewalls werden als Web Application Firewalls (WAF) bezeichnet. Viele Anbieter haben anwendungsbasierte Firewalls wie CloudFlare, F5 Application Security Manager (ASM) und sogar Apache ModSecurity.

Vorteile anwendungsbasierter Firewalls

Anwendungsbasierte Firewalls eignen sich hervorragend zum Schutz von Anwendungsprotokollen auf hoher Ebene, wie z. B. Webverkehr. Sie sind in der Regel auf unterschiedliche Protokolle spezialisiert. Mit dieser Spezialisierung sind sie sich des Protokolls voll bewusst und können so eingestellt oder trainiert werden, dass sie lernen, was normaler Verkehr ist und was nicht. Bei anderen Arten von Firewalls können Sie normalerweise nur basierend auf IP-Adressen oder Routing-Informationen blockieren. Wenn Sie Glück haben, können Sie in einigen Fällen basierend auf bestimmten Protokolleinstellungen auf diesen anderen Arten von Firewalls blockieren. Mit WAFs können Sie jedoch basierend auf Teilen des HTTP-Protokolls wie Headern, Anforderungsmethode, URI oder mehr blockieren, da sie das HTTP-Protokoll und seine Nuancen vollständig verstehen.

Nachteile anwendungsbasierter Firewalls

Einer seiner größten Vorteile ist gleichzeitig auch einer seiner Nachteile. Oft kann die Abstimmung überwältigend werden. Im Fall von WAFs müssen Ihre WAF-Regeln überwacht und angepasst werden, wenn sich die Webanwendung häufig ändert. Bei einem so spezifischen und hochkarätigen Firewall-Typ kann die Lernkurve steil sein. Es erfordert normalerweise jemanden, der mit dem betreffenden Protokoll sehr vertraut ist, um die Regeln und Logik richtig einstellen zu können.

Wenn Sie sich zum Schutz Ihres Netzwerks voll und ganz auf eine anwendungsbasierte Firewall verlassen, ist dies kein Schweizer Taschenmesser. Es ist das spezialisierte Tool für bestimmte Bereiche Ihres Netzwerks, die zusätzlichen Schutz und Schutz benötigen.

Abschließende Gedanken

Bei der Auswahl einer Firewall-Lösung ist es wichtig, die jeweiligen Vor- und Nachteile zu verstehen. In vielen Fällen wählt eine Organisation eine oder mehrere der besprochenen Optionen, um die Abdeckung der Sicherheit des Netzwerks zu maximieren. Das Budget spielt immer eine Rolle, und daher kann es bei der Entscheidung, welches das Beste ist, darauf ankommen, was sich das Unternehmen leisten kann. Es gibt keine falsche Entscheidung bei der Auswahl von Firewalls, solange sie Ihre geschäftlichen Anforderungen und die gesetzlichen Compliance-Anforderungen erfüllen, falls vorhanden.

Pin It on Pinterest