Die klassische Firewall-Diskussion kennt lediglich zwei unterschiedliche Firewall-Typen. Die ursprüngliche Variante ist in einem Paket Filter (Abk. PF) gegeben. Dieser analysiert die Kommunikationen auf einer niedrigen Netzwerkebene. Lediglich anhand von IP-Adressen und Port-Nummern des Absenders sowie Empfängers werden Entscheidungen über die Zulassung der Verbindung getroffen. In modernen Implementierungen werden ebenfalls die Header-Optionen der Pakete sowie Verbindungs-Stati des Daten-Austauschs analysiert. Dies soll komplexe Angriffe und Attacken mittels korrupten Paketen (z.B. Firewalking) verhindern.

Vorteil derartiger Lösungen ist ihre Einfachheit. Verhältnismässig simpel lassen sie sich entwickeln und ihre Regeln anwenden. Eine solche technische Primivität ist sicherheitstechnisch stets ein Vorteil, denn ergibt sich aus ihr eine geringere Chance auf Fehler bei der Umsetzung. Ihre einfache Analyse-Technik ist aber ebenfalls ihr grösster Nachteil. So können Paket Filter nicht erkennen, ob die über einen freigegebenen Port umgesetzte Kommunikation auch wirklich jene ist, für die sie sich ausgibt. Durch das Aufsetzen eines modifizierten Mailservers liessen sich nämlich auch Mail-Verbindungen über den TCP-Port 80, der eigentlich für Web-Verbindungen (HTTP) vorgesehen ist, abwickeln.

Um derlei Tunnelling-Angriffe zu verhindern, wurden sogenannte Application Gateways (Abk. AG) entwickelt. Diese greifen auf einzelne Proxies zurück, die für dedizierte Dienste angeboten werden. Ein solcher Proxy nimmt eine Anfrage auf einem Port entgegen, überprüft die Daten der Netzwerkanwendung und leitet sie gegebenenfalls weiter. Die Entkoppelung und die erweiterte Einsicht auf der Applikationsebene erlauben das genaue Erkennen von fehlerhaften Kommunikationen. Eine Web-Verbindung (HTTP) ist über einen Mail-Proxy (SMTP) aufgrund der Protokoll-Unterschiede gar nicht (oder nur mit erheblichem Zusatz-Aufwand) möglich – Irrelevant, ob diese nun über den Port 80 oder 12345 stattfindet.

Diese erweiterten Analyse-Fähigkeiten sind aber ebenfalls zeitgleich der Nachteil der Lösung. So erfordern sie eine erhöhte Komplexität des Produkts, was dazu führt, dass derartige Implementierung statistisch fehleranfälliger sind. Hinzu kommt, dass viele Proxy-Produkte relativ einfach gestrickt sind und die Möglichkeiten der Technik bei weitem noch nicht ausschöpfen. So wären seit jeher Pattern-basierte Überprüfungen möglich, die frühzeitig Angriffsmuster auf Applikationen erkennen können (z.B. deutet eine sehr lange Zeichenkette auf einen Pufferüberlauf-Versuch hin). Die Entwickler von Application Gateways sind aber zunehmends darum bemüht, neue und verbesserte Proxies anzubieten und damit die Qualität der Kontrolle zu steigern.

Die Werber der Firewall-Hersteller kommen dann gerne von dieser simplen Begriffs-Definition ab und werfen skurrile Eigenkreationen in den Raum. Phrasen wie Intelligent Defense oder Next Generation werden sodann als vermeintlich etablierte Firewall-Techniken verkauft. In den meisten Fällen handelt es sich dabei jedoch lediglich um die Adaption bzw. Weiterentwicklung albekannter Verfahren oder die Kombination verschiedener Sicherheits-Technologien (z.B. zusätzliche Einbruchserkennung oder Antiviren-Mechanismen). Und Diese Zusatz-Features bringen mehr Komplexität, was ein Mehr an Fehleranfälligkeit verspricht. Dies ist ein klarer Verstoss gegen den Grundsatz von Firewall- bzw. Sicherheits-Systemen:

Keep it simple, keep it safe.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)