Shopsysteme-Test

Basisschutz für Online-Shops: die Firewall

13. Oktober 2015
  • Shopsysteme-Test

© alphaspirit - Fotolia.com

Ausgehend von unserem großen Shopsysteme-Test werden wir in den kommenden Wochen beleuchten, was zum Basisschutz Ihres Online-Shops gehört. Wir starten heute mit dem Thema Firewall, erklären Ihnen, was eine Firewall eigentlich ist und was Sie beim Einsatz beachten sollten.

Was ist eine Firewall?

Eine Firewall lässt sich als Barriere bezeichnen, die ganze Netzwerke sowie einzelne Netzwerkbereiche vor schädlichem Datenverkehr und Hackerangriffen schützt. Dabei wird die Netzwerk-Firewall an der Grenze zweier Netzwerke installiert. Diese Grenze befindet sich in aller Regel zwischen dem World Wide Web und dem Unternehmensnetzwerk. Weiter existieren sogenannte Client-Firewalls, die stationär installiert werden und ausschließlich den Rechner eines Endbenutzers schützen.

Firewalls existieren als Hard- und Software-Ausführungen. Der gesamte eingehende und ausgehende Datenverkehr wird von der Firewall untersucht und anhand bestimmter, vorher konfigurierter Kriterien geprüft. Zugelassen wird der Datenverkehr, wenn er den gesetzten Kriterien entspricht. Wenn nicht, wird der Datenverkehr blockiert. Gefiltert wird der Datenverkehr anhand der folgenden Kriterien:

  • Adressfilterung: überprüft werden Quell-, Zieladressen und Portnummern
  • Protokollfilterung: überprüft wird die Art des Netzwerkverkehrs, also beispielsweise HTTP oder FTP
  • auch die Attribute bzw. der Status von gesendeten Informationspaketen wird einer Prüfung unterzogen

Der Branchenverband Bitkom führte im Juli 2015 eine Studie zu Wirtschaftsschutz und Cybercrime durch. Die Wichtigkeit einer Firewall scheint angekommen zu sein: „Alle befragten Unternehmen nutzen Virenscanner, Firewalls sowie einen Passwortschutz für Computer und andere Kommunikationsgeräte“, heißt es in der Presseinformation zur Studie. Jedoch bieten Firewalls nicht automatisch den erforderlichen Schutz, sondern auf die Konfiguration kommt es an.

Die Antwort auf die Frage, wie denn eine Firewall richtig konfiguriert wird, ändert sich fortlaufend. Es lohnt sich, auch die Firewall im Unternehmen professionell auditieren zu lassen. Bei Fragen zum Thema können Sie sich gerne an unsere geschulten Sicherheitsexperten wenden. Warum regelmäßige Prüfungen sinnvoll sind? Anwendungen, Nutzer und neue Geräte können hinzukommen, Zugriffsberechtigungen ändern sich mit der Aufgaben- und Rollenverteilung in Unternehmen, Clouds und mobile Endgeräte finden Einzug. Firewalls sind nicht nur zum Schutz der stationären IT sinnvoll, sondern es gilt auch, Anwendungen im Netzwerk, in Clouds oder auf mobilen Endgeräten zu überwachen. Neben Änderungen der bestehenden IT-Landschaft machen auch Änderungen in der Bedrohungswelt regelmäßige Prüfungen sowie Anpassungen erforderlich. Findet dies nicht statt, können einmal gesetzte Regeln vom tatsächlichen Schutzbedarf enorm abweichen, was Angreifern Tür und Tor öffnet, um vertrauliche Daten auszuspähen. Wie oft Prüfungen vonnöten sind, hängt maßgeblich von der Risikolage sowie von Änderungen der bestehenden IT ab.

Dabei gilt es, nicht nur die Konfiguration der Firewall regelmäßig mit der Realität abzugleichen. Auch die Firewall-Protokollierungen werden idealerweise geschützt. Bedeutet, dass Protokolle verschlüsselt und nach dem Vier-Augen-Prinzip auditiert und möglichst datensparsam abgelegt werden.

Verschiedene Firewall-Ansätze

Firewalls können verschiedenen Ansätzen folgen: da wäre als einfachste Ausführung der paketfilternde Router zu nennen. Auf dem Router werden verschiedene Paketfilter konfiguriert, die den Datenverkehr mithilfe von Absender-, Zieladressen und Portnummern kontrollieren. Gängige IP-Router arbeiten mit diesem Verfahren standardmäßig. Dadurch, dass es ein sehr einfaches Verfahren ist, ist es auch recht kostengünstig – jedoch auch sehr unsicher, wenn man auf weitere Maßnahmen verzichtet. Schon das einfach zu realisierende Fälschen einer IP-Adresse genügt, um sich unbefugten Zugang zu verschaffen.

Schaltet man ein Firewall-System zwischen zwei paketfilternden Routern, entsteht das Verfahren „Bastion Host“. Ein externer Router zeigt sich dafür zuständig, den IP-Verkehr zwischen Bastion Host und Internet zu filtern, ein interner Router gestattet ausschließlich den IP-Verkehr zwischen dem internen Netz und dem Bastion Host. Der Schutz ist sehr effizient, jedoch auch kostspielig, da neben zwei Routern ein Firewall-System benötigt wird und der Konfigurationsaufwand relativ hoch ausfällt.

Mit einem Firewall-Server finden viele Unternehmen eine gut administrierbare und effiziente Lösung. Denn dieser beherrscht diese Funktionen: interner und externer Firewall-Router, Bastion-Host sowie Internet Application Server. Damit ist eine Komplettlösung gefunden, die alle Server für sämtliche relevanten Internetdienste inkludiert. Mehrere Methoden zum Filtern und Steuerungen für Zugriffe sorgen für das Erreichen einer hohen Sicherheitsstufe.

Angriffsszenarien gegenüber Firewalls

Zu den häufigsten Angriffsszenarien gelten Einbrüche: Angreifer verwenden den fremden Rechner für sich. Somit können Benutzerdaten, Kennungen und Dateien ausgespäht und manipuliert werden. Einbrüche bleiben sehr häufig unentdeckt; Angreifer können sich spurlos durchmogeln. Auch das Lahmlegen eines Dienstes ist ein häufiges Szenario: andere User sollen am Benutzen eines bestimmten Rechners oder eines bestimmten Ports gehindert werden. Diese Form der elektronischen Sabotage kann zum Zerstören von Daten sowie zum Ausfall des Geräts führen. Meist werden Angriffe dieser Art mit Informationsüberflutung inszeniert, das bedeutet, dass der Eindringlich das System bzw. Netz derartig mit Netzanfragen, Nachrichten oder sonstigen Prozessen überlastet, dass der User nicht mehr effektiv arbeiten kann. Auch wäre es denkbar, dass der Angreifer bestimmte Dienste deaktiviert, ersetzt oder umleitet.

Oftmals werden leider Usernamen, Passwörter und Kennungen unverschlüsselt im Klartext übermittelt, womit sie innerhalb des Netzwerks abhörbar sind. Auch dies machen sich Angreifer zunutze für den Informationsdiebstahl. Netztechnologien wie das nahezu überall gegenwärtige Ethernet oder auch Token Ring machen den gesamten Netzwerkehr im lokalen Netz abhörbar. Wie bei Einbrüchen hinterlassen Angreifer oftmals keinerlei Spuren, sodass der Informationsdiebstahl selten entdeckt wird.

Prüfen der Firewall

Wenngleich jedes Unternehmen andere Risiken abzudecken hat, existieren einige allgemeingültige Hinweise für die Konfiguration bzw. den generellen Einsatz von Firewalls. Dazu gehört es zunächst, einen formalen Prozess zum Testen und Freigeben der Einstellungen der Firewall zu finden. In diesem Prozess sollten o. e. Änderungen der IT-Landschaft zwingend bedacht werden. Grundsätzlich sollte für die Konfiguration der Firewall zudem gelten, minimale Zugriffs- bzw. Verbindungsberechtigungen zu vergeben. Je kleiner der Zugriffskreis, umso geringer die potenziellen Risiken.

Berücksichtigen Sie neben den Firewalls für Ihre Netzwerke auch Firewalls für Applikationen und Clouds sowie mobile Endgeräte. Beim Prüfen schauen Sie bitte nicht nur darauf, ob die jeweiligen Firewalls aktiv sind, sondern auch darauf, ob die Konfigurationen korrekt sind – hier unterstützt das Entwickeln eines formalen Prozesses. Wenn Regelwerksänderungen bei den Firewalls erfolgen, müssen diese revisionssicher, außerdem begründet und nicht zuletzt dokumentiert werden. Firewall-Prüfungen sollten sehr regelmäßig stattfinden und idealerweise werden die Protokolle nach dem Vier-Augen-Prinzip ausgewertet.

Falls Sie auf Firewall Audit-Tools setzen, prüfen Sie bitte, ob das Tool die Firewall-Konfigurationen optimieren konnte. Prüfen Sie zudem, ob sämtliche Firewalls, die Sie im Unternehmen einsetzen, von dem Tool wirklich unterstützt werden. Die Konfigurationen eines solchen Tools prüfen Sie idealerweise in einer Testumgebung. Werden fehlerhafte Einstellungen gemeldet? Passt das Tool zu den eingesetzten Hard- und Software-Firewalls? Können Sie sinnvolle Schlüsse aus den Protokolldateien ziehen? Und bewahren Sie diese Berichte manipulationssicher auf?

Regelwerk der Firewall aufräumen

Wie Sie aus den bisherigen Informationen herauslesen konnten, ist das Regelwerk einer Firewall einer der wichtigsten Punkte. Es gilt, das Regelwerk regelmäßig zu entrümpeln und auf aktuelle Gegebenheiten anzupassen. Ihre aktuellen Gegebenheiten können wir nicht kennen, jedoch gibt es auch zum Entrümpeln des Regelkatalogs einige allgemeingültige Hinweise, die wir Ihnen gerne vorstellen. Im Laufe der Zeit sammeln sich viele Regeln an und vor allem, wenn mehrere Administratoren an derselben Firewall hantieren, kann es zu Leistungseinbußen kommen. Die Wartung wird erschwert und Sicherheitsrisiken erhöht. Gerade für Sie als Online-Shop-Betreiber kommen wichtige Regeln wie der PCI-DS-Standard hinzu, der von Ihnen das Entfernen von nicht benötigten Regeln und Objekten erfordert. Die folgenden Best Practice-Ansätze helfen Ihnen beim Aufräumen Ihres Firewall- und Router-Regelwerks; sämtliche Punkte können Sie manuell abarbeiten. Verwenden Sie eine Software zum Verwalten der Konfiguration, wird das meiste automatisiert vonstatten gehen:
„Shadow“- & ungenutzte Regeln löschen: Widersprüchliche Regeln werden als „shadow“ bezeichnet und haben überhaupt keinen Effekt. Dasselbe gilt für ungenutzte oder bereits abgelaufene Regeln. Löschen Sie diese.

  • Ungenutzte Verbindungen: Sind Quell-/ Ziel-/ Service-Router eingetragen, die Sie nicht verwenden, löschen Sie diese.
  • Benennungsregeln: Protokollieren Sie die Benennung der Regeln und behalten Sie diese bei, damit das Regelwerk für jeden verständlich bleibt. Setzen Sie dabei auf logische Formate, beispielsweise „Rechnername“_IP für Ihre Hosts.
  • Duplikate: löschen Sie auch Objekt- oder Regel-Duplikate, also beispielsweise Dienste oder auch Hosts, die mehrmals unter verschiedenen Namen auftauchen.
  • Lange Regelsätze: Gewöhnen Sie sich an, lange Regelsätze in lesbare Stücke zu gliedern. Setzen Sie sich dafür beispielsweise ein Maximum von 20 Regeln je Regelsatz. Auch gilt es, die Komplexität eines Regelwerks dadurch zu verringern, dass sich Regeln nie überlappen.
  • Dokumentation: Regeln, Änderungen, Benennungen sowie Objekte werden inklusive ihrer Verwendung dokumentiert und sicher verwahrt.
  • Zonenbasierende Compliance-Policy: nachdem Sie die Policies definiert haben, prüfen Sie diese mithilfe eines Audit-Reports.
  • Priorität des Regelwerks: Häufig verwendete Regeln gehören nach oben sortiert. Viele Firewalls bearbeiten Pakete mithilfe entsprechend optimierter Algorithmen, sodass die Reihenfolge egal ist. Gehört Ihre nicht dazu, sollten Sie die Regeln nach Priorität sortieren, um Übersichtlichkeit zu gewährleisten.
  • Trennung von Firewall und VPN: trennen Sie Ihre Firewalls von VPNs, zwingt die VPN-Verarbeitung die Performance Ihrer Firewall nicht in die Knie.
  • Aktuelle Software: Neue Versionen bringen häufig Sicherheits- und Leistungsvorteile, manchmal aber auch neue Funktionen, sodass ein Leistungszuwachs nicht immer gegeben ist. Damit Angreifer keine alten Lücken ausnutzen können, achten Sie auf die Aktualität Ihrer Firewall.
  • Schnittstellen: Die Firewall-Schnittstellen sind auf die Switch- und Router-Schnittstellen abgestimmt. Bedeutet: arbeitet Ihr Router halbduplex, sollte auch Ihre Firewall auf halbduplex konfiguriert sein. Firewall und Switch melden idealerweise denselben Duplexmodus und dieselbe Geschwindigkeit.

Firewall-Ausfall – was tun?

Die besten und übersichtlichsten Regeln nützen gar nichts, wenn die Firewall ausfällt – Ausfälle können zwischen Minuten bis Stunden andauern. Um gerüstet zu sein, treffen Sie entsprechende Vorkehrungen: es kann nicht ausreichen, über ein Ersatzgerät zu verfügen, wenn die Firewall ausfällt, sondern dieser Ersatz muss bei einem Ausfall automatisch anspringen. So können Sie etwa eine Firewall konfiguriert und aktiv haben, während eine weitere als Standby-Firewall fungiert. Mit einem Failover-Kabel – hier genügt ein entsprechend modifiziertes Seriell-Link-Kabel – verbinden Sie beide Geräte. Konfigurieren Sie so, dass sich beide Firewalls in einem vorgegebenen Intervall, etwa alle paar Sekunden, Nachrichten senden. Wenn eine Kommunikation unbestätigt bleibt, schreiben Sie weitere Kommunikationsversuche vor. Bleiben auch diese unbeantwortet, können Sie so konfigurieren, dass das System von einem Failover ausgeht und das Standby-Gerät zu einer aktiven Firewall wird.

Das Koppeln der Firewall mit einem Überwachungsmodul ist ebenfalls anzuraten. So stellen Sie sicher, dass zu blockierende Inhalte auch tatsächlich blockiert werden. Integrieren Sie Alarmmechanismen, die Sie auf etwaige Unregelmäßigkeiten und/ oder Fehler hinweisen.

Die Firewall: Fazit

Die Firewall: FazitFirewalls sind unabdingbar, um Ihren Online-Shop vor Manipulationen, Zugriffen und Spionage zu schützen. Aufgrund der Möglichkeit, Zugriffsrechte zu verteilen, schützen Firewalls vor etwaigen unberechtigten Zugriffen sowohl von innen als auch von außen. Unerwünschter Datenverkehr wird blockiert, sodass die Firewall Ihre Systeme auch vor Malware schützt. Zusammenfassend lässt sich sagen, dass eine Firewall idealerweise …

  • … Zugriffe aufs Internet und Netzwerk kontrolliert,
  • … den Datenverkehr für ein- und ausgehende Verbindungen absichert,
  • … Anwendungen proaktiv kontrolliert,
  • … die Privatsphäre schützt und
  • … bei Aktivitäten, die von der Routine abweichen und damit verdächtig sind, alarmiert.

Eine Firewall gehört zweifelsfrei zum Basisschutz, kann jedoch nicht alleine für den Schutz garantieren. Wie die eingangs erwähnte Bitkom-Studie zeigt, verwenden sämtliche befragten Unternehmen eine Firewall. Jedoch ist das reine Aktivieren der Firewall nicht alles: die Konfigurationen müssen individuell auf Ihre Risiken sowie Ihre IT-Landschaft abgestimmt sein. Prüfen und protokollieren Sie regelmäßig, so ist Ihr Online-Shop durch die Firewall erheblich sicherer.



0 Kommentar(e)

Schreibe einen Kommentar