083: Was macht eine Firewall?

Shownotes

In dieser Episode von BlueScreen Wissen beschäftigen wir uns intensiv mit dem Thema Firewalls und ihrer essenziellen Rolle in der Notfallvorsorge und IT-Sicherheit. Wir haben bereits zuvor Backup- und Recovery-Pläne angesprochen, doch heute konzentrieren wir uns auf den Schutz von Geräten und Infrastrukturen vor unbefugtem Zugriff. Eine Firewall dient nicht nur dazu, externe Bedrohungen abzuwehren, sondern auch um den internen Zugriff zu regulieren, insbesondere wenn externe Partner oder Lieferanten auf bestimmte Anwendungen und Systeme zugreifen müssen.

Wir beleuchten die Unterschiede zwischen Personal Firewalls und Enterprise Firewalls, und erläutern, wie diese Technologien sicherstellen, dass nicht nur der Zugriff von außen kontrolliert wird, sondern auch der Datenfluss innerhalb des Netzwerkes überwacht wird. In der heutigen digitalen Landschaft ist es unerlässlich, dass wir nicht nur unsere Infrastruktur nach außen absichern, sondern auch den internen Datenverkehr sorgfältig regulieren. Ein Beispiel hierfür ist die Anwendung von Regelwerken, mit denen definiert wird, welche Anwendungen auf welchen Ports kommunizieren dürfen und unter welchen Bedingungen.

Der Diskurs umfasst zudem die Herausforderungen, die beim manuellem Verwalten von Regelwerken entstehen können, insbesondere wenn zahlreiche Anwendungen und Ports zu berücksichtigen sind. Hierbei kommen Applikationssets ins Spiel, welche die Verwaltung erheblich erleichtern, da häufig genutzte Regelungen in Gruppen zusammengefasst werden können. Wir diskutieren auch, wie moderne Systeme sowohl IPv4 als auch IPv6 unterstützen und wie die Segmentierung von Netzwerken in verschiedene Zonen, wie vertrauenswürdig oder potenziell unsicher, zusätzliche Sicherheit bietet.

Zudem wird auf die typischen Fehler eingegangen, die bei der Implementierung von Firewalls häufig gemacht werden. Viele Unternehmen sichern zwar ihre Netzwerke nach außen, vernachlässigen jedoch den Schutz von innen nach außen. Wir erklären die Risiken, die sich aus einem unregulierten Zugang vom internen Netzwerk ins Internet ergeben, insbesondere im Hinblick auf die Verbreitung von Schadsoftware und deren potenziellen Schäden.

Ein weiterer wichtiger Punkt in diesem Podcast ist die Frage, ob Personal Firewalls auf Geräten aktiviert oder deaktiviert sein sollten. Der konsensbasierte Rat ist eindeutig: Beide, Personal- und Enterprise-Firewalls sollten aus Sicherheitsgründen immer aktiv sein, und es sollte ein umfangreiches Monitoring und eine regelmäßige Pflege der Regelwerke stattfinden, um den maximalen Schutz zu gewährleisten.

Zusammenfassend ist das Thema Firewall nicht nur eine technische Notwendigkeit, sondern ein fundamentales Element der Sicherheitsstrategie jedes Unternehmens. Durch die effektive Anwendung von Firewalls können Organisationen ihre Sicherheitslage erheblich verbessern und sich besser auf mögliche Angriffe vorbereiten. In der nächsten Episode werden wir uns dann mit zentralem Log-Management beschäftigen und besprechen, wie diese Protokolle zur Verbesserung der IT-Sicherheit genutzt werden können. Wir freuen uns darauf, Sie dann wieder dabei zu haben.

Shownotes:

Transkript anzeigen

00:00:05: Hallo und willkommen zu einer weiteren Folge von Blue Screen Wissen.

00:00:09: Wir haben in den letzten Folgen ja schon viel über das Thema Notfallvorsorge gesprochen.

00:00:13: Wir haben auch über Backup und Recovery Pläne geredet.

00:00:17: Und eine Sache, die ich noch gar nicht angesprochen hatte, ist das Thema Firewalls.

00:00:23: Eine Firewall schützt eure Geräte, eure Infrastruktur vor fremden Zugriffen. Auf der einen Seite.

00:00:30: Auf der anderen Seite regelt eine Firewall aber auch den Zugriff,

00:00:33: zum Beispiel den erlaubten Zugriff, wenn ein Lieferant oder ein Externer auf

00:00:38: eine bestimmte Applikation oder ein bestimmtes System zugreifen soll.

00:00:42: Diese ganzen Sachen kann ich mit einer sogenannten Enterprise Firewall regeln.

00:00:46: Ich kann aber auch natürlich die integrierten Firewalls zum Beispiel bei Windows oder macOS verwenden.

00:00:52: Linux bietet sowas auch, um eben nicht nur den Zugriff von außen abzusichern,

00:00:57: sondern zum Beispiel auch dafür zu sorgen, dass Applikationen im Inneren,

00:01:01: also die auf meinem Betriebssystem laufen, nicht ins Internet oder auf verschiedene

00:01:05: Dinge zugreifen können.

00:01:06: Man unterscheidet also hier zwischen Personal Firewalls und Enterprise Firewalls

00:01:11: und egal welche Firewall man sich anschaut, die funktionieren im Grunde genommen

00:01:16: weitestgehend erstmal gleich.

00:01:18: Es gibt die Möglichkeit, ein Regelwerk anzulegen und in diesem Regelwerk definiere

00:01:23: ich eben verschiedene Sachen.

00:01:24: Ich kann zum Beispiel sagen, dass eine gewisse Anwendung auf einem sogenannten

00:01:29: Port nach außen sprechen darf oder halt eben nicht.

00:01:33: Ganz einfach gesagt wäre das zum Beispiel, wenn ich sage,

00:01:36: ich möchte das Surfen im Internet verbieten, dann verbiete ich für das Protokoll

00:01:40: TCP den Zugriff auf Port 80 und Port 443 ausgehend,

00:01:46: heißt in Richtung Internet und wenn ich diese Regel aktiviere,

00:01:49: dann könnte ich zum Beispiel nicht mehr surfen.

00:01:52: Funktioniert natürlich auch immer von außen nach innen.

00:01:56: Ich kann beispielsweise also auch darüber festlegen, wenn ich einen Web-Server

00:02:00: habe, der vielleicht ein Management-Interface auf Port 81 hat,

00:02:04: dass ich sage, dieser Port 81 darf nur aus meiner internen Infrastruktur aus aufgerufen werden.

00:02:10: Ich pflege also eine Liste und sage, wenn ein Zugriff von dieser IP-Adresse

00:02:15: oder aus dieser IP-Range kommt, dann ist das erlaubt. Wenn ein Zugriff von außerhalb

00:02:20: dieser Range kommt, also aus dem Internet, dann möchte ich es an dieser Stelle verbieten.

00:02:25: Jetzt ist es aber leider so, dass es je nachdem, welche Anwendungen man im Einsatz

00:02:30: hat, relativ mühsam werden kann, wenn man jede einzelne Applikation und jeden

00:02:35: einzelnen Port, der dazu gehört, von Hand pflegen möchte.

00:02:37: Deswegen bieten viele Firewalls die Möglichkeit, nach Applikationssets zu arbeiten.

00:02:43: Das heißt, ich könnte beispielsweise auch sagen, wenn ich weiß,

00:02:46: eine Applikation wie zum Beispiel ein Chatbot oder eine Telefonanlage,

00:02:52: die bekannt ist, hat die und die und die Ports,

00:02:56: dann packe ich die entweder in eine eigene Regel,

00:02:59: das heißt, ich lege mir ein eigenes Applikationsset an, gebe dem einen Namen und sage,

00:03:03: auf welchem Protokoll und welchen Ports das Ganze kommunizieren darf und möchte

00:03:06: und wende diese Regel dann lediglich nur noch an.

00:03:10: Das heißt, ich kann mir halt an der Stelle eine ganz gute Hilfestellung bauen,

00:03:13: indem ich halt verschiedene wiederkehrende Einstellungen einfach in einem Applikationsset

00:03:18: zusammenfasse, um das dann nicht jedes Mal einzeln von Hand tun zu müssen.

00:03:23: Was ich in so einem Regelwerk auch definieren kann, ist eben,

00:03:27: das haben wir gerade schon gehört, die Quelle und das Ziel.

00:03:30: Das heißt, von wo nach wo wird hier kommuniziert, welches Gerät von wo kommen

00:03:36: darf auf welches Gerät an welcher Quelle, also von welcher Quelle an welchem

00:03:40: Ziel sozusagen aufgerufen werden.

00:03:42: Und auch solche Sachen kann ich jeweils pflegen.

00:03:45: Aktuelle, moderne Systeme unterstützen an dieser Stelle natürlich nicht nur

00:03:49: IPv4, sondern auch IPv6.

00:03:52: Ja, und das Ganze kann man dann auch noch wunderbar miteinander kombinieren,

00:03:56: indem man nicht nur das wirklich pro Gerät oder pro Applikation, pro Server macht,

00:04:01: sondern die Dinge auch noch, so wie es ja auch tatsächlich die Empfehlung ist,

00:04:06: in verschiedene Zonen packt.

00:04:08: Das heißt, ich könnte beispielsweise hergehen und sagen, ich habe ein Server-Netzwerk

00:04:12: mit einem eigenen IP-Adressbereich.

00:04:15: Das Ganze packe ich in ein virtuelles LAN, ein sogenanntes VLAN und gebe dem

00:04:20: zum Beispiel den VLAN-Tag 100.

00:04:23: Als Firewall oder aus Firewall-Sicht sage ich dann, das ist meine Zone 100.

00:04:28: Das Rechenzentrum oder Data Center und gebe dem auch noch ein Schutzlabel mit.

00:04:33: Das heißt, ich könnte zum Beispiel sagen, das ist aus Sicht kommend von dieser

00:04:38: Zone, ist das vertrauenswürdig.

00:04:40: Also kann ich hier auch sagen, das ist trusted, was von dort kommt.

00:04:44: Wenn ich auf diese Sachen zum Beispiel aus einer anderen Zone wie einem Gästenetz

00:04:48: zugreifen können würde, würde ich an der Stelle sagen, das Gästenetz oder auch

00:04:53: mein Client-Netzwerk ist potenziell vielleicht nicht so sicher.

00:04:57: Also vertraue ich dem weniger und gebe dem anderen Netz dann sozusagen eine

00:05:01: andere Zonenbezeichnung und gebe dort mit, das ist vielleicht untrusted.

00:05:05: Das Internet selber ist natürlich auch untrusted an dieser Stelle und so kann

00:05:09: ich mir dann tatsächlich relativ sprechend Regelwerke zusammenbauen, indem ich sage,

00:05:15: wenn der Zugriff aus einem vertrauenswürdigen Netzwerk, zum Beispiel meinen

00:05:19: eigenen Clients, in das Servernetzwerk vertrauenswürdig auf beiden Seiten passiert.

00:05:24: Dann erlaube ich beispielsweise mehr Dinge, als wenn der Zugriff aus einem unvertrauenswürdigen

00:05:30: Netzwerk wie dem Internet stattfindet.

00:05:32: Hier verbiete ich dann entweder den Zugriff komplett oder sage,

00:05:36: hier ist an dieser Stelle einfach dann weniger zulässig.

00:05:39: Und ja, Firewalls, das ist an dieser Stelle eigentlich Basiswissen.

00:05:43: Das sollte eigentlich auch zum guten Ton gehören, dass man im Unternehmen nicht

00:05:47: nur seine Infrastruktur nach außen absichert mit einer Firewall,

00:05:51: sondern auch den Zugriff von innen nach außen entsprechend reglementiert.

00:05:55: Leider ist es aber so, das sehen wir ganz häufig, dass die Unternehmen zwar

00:05:59: noch den Schutz von außen nach innen machen.

00:06:02: So zwiebelschalenartig, aber von innen nach außen ist alles erlaubt,

00:06:05: was natürlich ein großes Problem darstellt, denn wenn ich mir heutzutage Schadcode einfange,

00:06:10: zum Beispiel über eine E-Mail, über eine Phishing-E-Mail, dann wird diese E-Mail

00:06:14: oder der Schadcode in der E-Mail definitiv versuchen,

00:06:17: auf Dinge im Internet danach zuzugreifen, einen sogenannten Sideload zu machen,

00:06:22: ein Nachladen von weiterer Schadsoftware,

00:06:26: die sich dann in meinem Netzwerk ausbreiten sollte oder könnte.

00:06:29: Und wenn ich sage, von innen nach außen ist alles erlaubt, dann ist das natürlich

00:06:33: ein Problem, weil dieser Zugriff würde an dieser Stelle nicht blockiert.

00:06:36: Es lohnt sich also definitiv, hier auch Zeit rein zu investieren und zu sagen,

00:06:41: ich pflege, soweit es geht, eine Whitelist von erlaubten Applikationen,

00:06:46: IP-Adressen, Ports, Anwendungen, was auch immer.

00:06:49: Und nur diese Dinge dürfen kommunizieren. Alles andere, was da sonst noch so

00:06:53: kommuniziert, möchte ich definitiv aber sehen. Ich möchte es überwachen.

00:06:57: Da unterscheidet sich dann auch natürlich so ein bisschen die Bandbreite von

00:07:01: den verschiedenen Herstellern, was so eine Enterprise Firewall an der Stelle

00:07:05: bietet. Aber es macht definitiv Sinn, wenn man diese ganzen Zugriffe dann entsprechend auch protokolliert.

00:07:11: Manche Hersteller bieten auch die Möglichkeit, sogenannte Blacklists automatisch

00:07:16: auf der Firewall oder in dem Verbund mehrerer Firewalls zu aktualisieren.

00:07:20: Das heißt, ich könnte hier zum Beispiel über eine Liste auch pflegen,

00:07:24: was sind denn bekannte schadhafte IP-Adressen oder Domains, von wo in der Vergangenheit

00:07:30: bereits Schadcode gekommen ist oder von wo aus Schadcode nachgeladen worden ist.

00:07:34: Und die packe ich dann ebenfalls wiederum in ein eigenes Regelwerk,

00:07:38: damit dann eben, wenn sich jemand eine Schadsoftware heruntergeladen hat,

00:07:42: die dann nachladen möchte, eben über diesen Weg einfach blockiert wird.

00:07:46: Aber wie gesagt, in der Praxis ist es leider so, ich sehe ganz oft,

00:07:49: dass von innen nach außen alles erlaubt ist und ja, das macht,

00:07:53: glaube ich, nachvollziehbarerweise an dieser Stelle aber relativ wenig Sinn.

00:07:58: Ja und in der Kombination aus diesen Regelwerken und den verschiedenen Profilen,

00:08:04: die ich dort hinterlegen kann, habe ich dann halt ein wunderbares Set,

00:08:08: was sehr gut mitskalieren kann mit meiner eigenen Infrastruktur.

00:08:13: Es gibt auf der Client-Seite auch zusätzlich noch die Möglichkeit,

00:08:17: gerade bei Windows kennt man das, dass man hier hinterlegen kann,

00:08:20: welches Netzwerk ist denn wie vertrauenswürdig.

00:08:24: Das heißt, wenn ich mein eigenes Netzwerk zu Hause oder im Unternehmen als vertrauenswürdig

00:08:28: hinterlege, dann schaut auch vielleicht die Personal Firewall weniger stark

00:08:32: auf den Traffic, der dort stattfindet.

00:08:33: Wenn ich hingegen an einem Hotspot verbunden bin, zum Beispiel am Flughafen

00:08:37: oder irgendwo an einem öffentlichen Ort, dann kann das auch erkennen,

00:08:41: weil es dieses Netzwerk vorher noch nie gesehen hat,

00:08:43: aha, ich kenne dieses Netzwerk nicht, ich vertraue diesem Netzwerk per se jetzt

00:08:47: auch mal gar nicht und hier ist dann automatisch auch weniger erlaubt.

00:08:50: Also so automatischer Profilwechsel zwischen Heimnetz, Arbeitsnetz und öffentlichem

00:08:55: Netz, das können auch die modernen Betriebssysteme eigentlich alle out of the box.

00:09:00: Und in der Kombination aus meinen Personal Firewalls und einer Enterprise Firewall

00:09:05: bekomme ich hier schon tatsächlich eine ganz große Möglichkeit,

00:09:08: einfach meine Infrastruktur und meine Endgeräte vernünftig zu sichern.

00:09:13: Eine Frage bleibt an der Stelle noch, die bekomme ich auch immer wieder gestellt,

00:09:17: wenn wir Auditierungen machen, beziehungsweise wenn wir selber scannen, sehe ich das auch.

00:09:21: Soll ich die Firewall auf meinen Geräten denn jetzt anmachen oder soll ich sie ausschalten?

00:09:26: Das ist etwas, was ich in der Vergangenheit vor 15 Jahren vielleicht selber

00:09:31: auch noch so gemacht habe, dass ich gesagt habe, innerhalb meines Domänen-Netzwerkes

00:09:35: ist die Firewall aus, weil es für mich als Admin halt lästig ist.

00:09:38: Wenn die Firewall auf einem Windows-PC an ist und ich pflege die Regeln dort

00:09:43: nicht von einer zentralen Stelle oder von Hand, dann kann ich zum Beispiel nicht

00:09:47: per Remote Desktop einfach auf diesen Client zugreifen.

00:09:50: Möglicherweise funktionieren verschiedene Softwarekomponenten,

00:09:53: Management Agents, Softwareverteilung und so weiter nicht so richtig,

00:09:58: wie ich mir das vorstelle, weil ich müsste es halt pflegen.

00:10:00: Und deswegen gehen viele einfach her und sagen standardmäßig,

00:10:03: das Ding ist einfach aus.

00:10:05: Ist natürlich auch keine gute Empfehlung, weil hier, wie gerade schon erwähnt,

00:10:09: natürlich nochmal eine weitere Schutzbarriere existiert.

00:10:12: Ja, man muss sich damit beschäftigen, man muss sich damit auseinandersetzen,

00:10:16: welche Software darf von meinen Clients raus ins Netz und was darf innerhalb

00:10:20: meines Netzes sprechen.

00:10:21: Aber der Gewinn an Sicherheit, den ich dadurch bekomme, ist es meiner Meinung

00:10:25: nach definitiv wert, dass man sich da einfach mal mit beschäftigt,

00:10:28: um seine komplette Infrastruktur abzusichern.

00:10:31: Zumal ja diese Personal Firewalls eigentlich mittlerweile auf jedem Gerät da

00:10:35: sind. Also man müsste es ja nur pflegen.

00:10:37: Insofern die Frage an oder aus, glaube ich, die hat sich hiermit schon geklärt.

00:10:41: Bitte lasst die Personal Firewalls genauso wie die Enterprise Firewalls immer an.

00:10:46: Pflegt das Ganze so gut wie es geht, so tief wie es geht.

00:10:49: Ja, es ist Arbeit, aber diese Arbeit lohnt sich, weil man dann im Fall eines

00:10:53: Falles dann entsprechend natürlich einfach besser aufgestellt ist.

00:10:57: Ja, und zu guter Letzt diese ganzen...

00:11:00: Die Informationen, die Protokolle, die wir hier sammeln, die wir hier auch generieren,

00:11:04: sowohl auf den Endgeräten als auch auf Servern oder der Firewall selbst,

00:11:07: das sollte man sich natürlich auch hin und wieder mal angucken.

00:11:10: Aber wie das funktioniert, das werden wir definitiv dann in der nächsten Folge

00:11:15: von Blue Screen Wissen hören, denn da sprechen wir mal darüber,

00:11:18: wie denn zentrales Log-Management funktionieren kann. Eine Sache noch,

00:11:22: vielleicht so zum Abschluss.

00:11:24: Ihr hört jetzt die Folge Anfang Oktober gerade und im Oktober findet die ITSA statt.

00:11:31: Die ITSA in Nürnberg, Deutschlands, ich glaube sogar die größte IT-Security-Messe

00:11:37: und Veranstaltung in Nürnberg, geht drei Tage.

00:11:39: Und einen Tag davor, am 21.10., findet ebenfalls in Nürnberg der Security Summit

00:11:45: 2024 von der Q-Skills in Nürnberg statt.

00:11:49: Wenn ihr da noch teilnehmen möchtet oder auch wenn ihr kostenlose Tickets für die ITSA, die am 22.10.

00:11:57: Startet, haben möchtet, dann meldet euch gerne bei mir.

00:11:59: Schreibt mir mal eine Nachricht auf, keine Ahnung, auf LinkedIn oder auch gerne per Mail.

00:12:04: Lasst mir eine Sprachnachricht da. Ihr kennt ja die ganzen Möglichkeiten,

00:12:08: sich mit mir in Verbindung zu setzen. Findet ihr auch alles unten in den Shownotes.

00:12:11: Schreibt mir gerne eine Nachricht, dann lasse ich euch da entsprechend einen Code zukommen.

00:12:15: Der Security Summit, da habe ich einen 10% Gutscheincode für euch.

00:12:19: Und für die ITSA gibt es bei mir kostenlose Karten.

00:12:22: Das Ganze wird gesponsert von der Q-Skills in Nürnberg.

00:12:25: Ja, und damit sind wir schon wieder

00:12:26: am Ende. Ich hoffe, ihr konntet ein bisschen was für euch mitnehmen.

00:12:29: Und dann würde ich mich freuen, wenn ihr auch zur nächsten Folge von Blue Screen

00:12:32: oder Blue Screen Wissen wieder einschaltet.

00:12:34: Macht's gut, bis dahin, euer Alex.

00:12:38: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.