Warum nur eine aufgepeppte Firewall eine gute Firewall ist

Der Irrglauben, dass Firewalls vor allen Gefahren schützen, ist leider bei vielen IT-Verantwortlichen immer noch weit verbreitet.

Artikel erschienen in Swiss IT Magazine 2002/37

     

Der Irrglauben, dass Firewalls vor allen Gefahren schützen, ist leider bei vielen IT-Verantwortlichen immer noch weit verbreitet. Es ist zwar löblich: Der Grossteil aller Firmen in der Schweiz setzt heute Firewalls ein, um ihr privates Firmennetzwerk vor Angriffen aus dem Internet zu schützen. Doch: Was in den Anfangszeiten des Internet noch ausreichend war, ist es heute leider nicht mehr. Immer mehr Angriffsmethoden benutzen Mechanismen, bei denen eine reine Firewall keinen ausreichenden Schutz mehr bietet. Der Grund: Diese Angriffe benutzen meist durch die Firewall explizit zugelassene eingehende Protokolle wie HTTP, FTP oder SMTP für E-Mail-Verkehr. So kann ein Hacker eine Webseite angreifen, ohne dass die Firewall etwas bemerkt. Eine Firewall ist nicht in der Lage, normalen Verkehr von einem Angriff zu unterscheiden.


Die Krux mit den Schwachstellen

Der Hacker benutzt dabei meist bekannte Schwachstellen in den verschiedenen Applikationen aus, um sich Zugriff auf die Server zu verschaffen. Natürlich kann man darauf achten, dass die vom Internet her erreichbaren Services permanent auf dem aktuellen und damit relativ sicheren Stand sind. Doch die Realität sieht leider anders aus. Der administrative Aufwand, um alle Applikationen immer auf dem aktuellen Stand zu halten, ist immens. Ein weiteres Problem ist, dass man diese Applikationen auch nicht jede Woche einfach so updaten kann, denn jedes Update birgt auch die Gefahr von neuen Unstabilitäten oder Kompatibilitätsproblemen.



Eine weiteres Beispiel sind so genannte Würmer, die sich automatisch verbreiten. Auch diese nutzen bekannte Vulnerabilities von Produkten aus. Da spielt es dann auch absolut keine Rolle, ob eine Firma sicherheitsrelevante Daten besitzt oder nicht. Den Wurm interessiert das überhaupt nicht. Oder kennen sie Grippenviren, die nur gewisse Personenkreise infizieren?




Ähnlich verhält es sich auch bei Angriffen über Hackertools auf ganze Internetbereiche. Der Angreifer scannt dabei ganze IP-Adress-Bereiche durch, bis er ein Opfer gefunden hat, das es versäumt hat, die Serverapplikation auf den aktuellsten Stand zu bringen. Auch hier wird das Firmennetzwerk nicht bewusst angegriffen. Es ist also höchst naiv, wenn IT-Manager sagen: "Sehen Sie, wir sind doch ein nettes Unternehmen, besitzen keine sensitiven oder kritischen Daten und sind deshalb kein Ziel von Hackern." Die eigentliche Gefahr geht von automatisierten, ziellosen Attacken aus - und die Angreifer kennen keine (Hacker)-Moral.




Löcher in Firewalls stopfen

Wie kann man sich nun vor Angriffen schützen, denen eine Firewall nichts entgegenzusetzen hat? Eine Lösung ist ein aktives Network Intrusion Detection System (IDS), das den Internetverkehr auf bekannte Angriffsmuster in Echtzeit überwacht. IDS-Systeme enthalten ähnlich wie Antiviren-Lösungen Signaturen, die bekannte Attacken beschreiben. So werden die oben beschriebenen Angriffe, die auf bekannten Vulnerabilities basieren, erkannt und beim Einsatz eines aktiven IDS-Systems auch gleich blockiert. Somit gewinnt man auch die nötige Zeit, um die Server-Applikation jeweils auf den aktuellen Stand zu bringen. IDS-Systeme sind wie Antiviren-Lösungen in der Lage, sich selbständig mit neuen Signaturen zu aktualisieren. Natürlich erkennt ein solches System nur bekannte Attacken. Doch diese machen schon mal einen sehr grossen Teil aus. Ein Blick in die Signaturen-Datenbanken von IDS-Systemen zeigen auch klar auf, wie viele Angriffsmuster heute schon bekannt sind Tendenz massiv steigend.



Die zweite Lösung ist ein Antiviren-Gateway, der Viren, Trojaner und Würmer, die über E-Mail verbreitet werden, schon stoppen kann, bevor diese in der Mailbox des Benutzers landen. Zwar können das auch Antivirenprogramme auf den Arbeitsstationen, doch werden diese vielfach vom User einfach deaktiviert oder sie sind nicht auf einem aktuellen Stand. Eine zentral konfigurierte und hochaktualisierte Antivirenlösung auf Arbeitsstationen und Servern funktioniert in einer grossen Firma noch recht gut mit standardisierten Installationen. Bei mittelgrossen und kleineren Firmen sieht es dann schon viel schlechter aus.




Dass die Firewall-Funktionalitäten nicht ausreichen, um sich vor Angriffen aus dem Internet zu schützen, haben mittlerweile auch die Hersteller von Firewalls erkannt. So ist es kaum ein Zufall, dass diese momentan im grossen Stil Antiviren- und IDS-Firmen aufkaufen oder Partnerschaften eingehen. Damit statten sie ihre eigenen Produkte mit diesen Zusatzfunktionalitäten aus. Seit einiger Zeit sind auch schon Produkte auf dem Markt, die diese Funktionalitäten in einer Lösung vereinen. Vor allem Firewalls und IDS-Systeme werden in Zukunft immer mehr verschmelzen.



An dieser Stelle möchte ich Sie aber auch warnen: Überprüfen Sie alle Lösungen im Detail. Nicht selten entpuppt sich eine Firewall mit IDS- und Antivirus-Funktionalität als Mogelpackung, da die Zusatzfunktionen nur halbherzig implementiert wurden. In so einem Fall wähnen Sie sich in Sicherheit, obwohl dem nicht so ist.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER