Paketfilter-Firewalls: Wie sie funktionieren und wann man sie einsetzen sollte

Die meisten Unternehmen legen heutzutage großen Wert auf Netzwerksicherheit, und unter allen Sicherheitsaspekten ist die Zugriffskontrolle derjenige mit den größten Auswirkungen. Viele Unternehmen nutzen Firewalls, um den Datenverkehr zu filtern, was natürlich von Vorteil ist.

Es gibt verschiedene Arten von Firewalls, und hier möchten wir wichtige Informationen zu Firewalls mit Paketfilterung vermitteln. Wenn Sie mehr über diese spezielle Technologie erfahren möchten, helfen wir Ihnen, ihre Funktionsweise zu verstehen, und stellen einige Vergleiche mit anderen Sicherheitsoptionen an.

Paketfiltermechanismen verstehen

Die Paketfilterung ist eine Firewall-Technologie, die vor externen Angriffen schützt. Die Technologie überwacht den Datenverkehr anhand spezifischer Regeln, die auf die Datenpakete angewendet werden, und lässt bestimmte Datenmengen durch oder weist sie zurück.

Paketfilter werten Daten aus, die am Netzwerkrand in Pakete aufgeteilt werden. Diese Datencontainer sind relativ klein, was zu einer effizienten Übertragung und Fehlertoleranz beiträgt. Die Pakete bestehen aus zwei Hauptkomponenten:

• Header. Sie enthalten Informationen zum Ziel, zum Ursprung und zur Identität der Pakete. Mit diesen Informationen ist es möglich, Daten dorthin zu transportieren, wo sie benötigt werden.
• Nutzdaten. Hierbei handelt es sich um die Informationen, die übertragen werden sollen. Diese Daten können mit den Filtern nicht analysiert werden.
  Mithilfe einer Paketfilter-Firewall lässt sich analysieren, ob bestimmte Pakete in das Netzwerk gelangen dürfen. Dazu wird der Header des Pakets anhand folgender Kriterien überprüft:
• Ziel-/Quelladresse von ausgehenden/eingehenden Paketen.
• IP-Adressen der Pakete.
• Header-Flags.
• Das verwendete Übertragungsprotokoll, in der Regel TCP, UDP oder ICMP.
• Netzwerkkarte (NIC).

All diese Informationen werden von der Firewall anhand der Zugriffskontrolllisten und vordefinierten Regeln überprüft. Werden die Regeln erfüllt, wird die Übertragung fortgesetzt; andernfalls wird der Vorgang abgelehnt.

Wesentliche Merkmale von Firewalls mit Paketfilterung

• Funktioniert auf der Basis einzelner Datenpakete.
• Regeln werden auf die in die Netzwerke eintretenden Informationen angewendet.
• Es werden keine tiefgehenden Überprüfungen durchgeführt.
• Es werden externe Paketinformationen verwendet.
• Die Filter speichern keine früheren Informationen, sodass jedes Paket für sich bewertet wird.

Gängige Anwendungsbereiche der Paketfilterung

Der Hauptanwendungsbereich der Paketfilterung liegt im Bereich der Netzwerksicherheit. Alle Geräte, Anwendungen und Daten werden vor verschiedenen externen Bedrohungen geschützt. Durch das Erkennen ungewöhnlicher Aktivitäten und das Verhindern ihres Eindringens lassen sich zahlreiche Risiken ausschließen, darunter Datenlecks und Malware-Payloads.

Im Vergleich zu den neuesten Firewall-Typen arbeiten Paketfilter auf einer wesentlich oberflächlicheren Ebene. In manchen Fällen kann dies jedoch ein großer Vorteil sein. So ist dieser Ansatz beispielsweise wesentlich schneller, was in Situationen, in denen Sicherheit nicht oberste Priorität hat, ein großer Vorteil sein kann.

Mit dieser Technologie ist es möglich, IP-Zulassungslisten (ACLs) zur Überwachung des Datenverkehrs zu nutzen. Um den Prozess zu vereinfachen, können zudem noch mehr authentifizierte IP-Adressen zur ACL hinzugefügt werden. Auf diese Weise haben nur autorisierte Benutzer Zugriff auf die erforderlichen Informationen, andere hingegen nicht.  

Kategorien von Paketfilter-Firewalls

Um ein besseres Verständnis der Paketfilterung zu erlangen, wollen wir uns einige Kategorien dieser Firewalls ansehen.

H3 – Statische Paketfilter-Firewalls

Bei der statischen Paketfilterung wird vor der Vornahme von Änderungen stets derselbe Regelsatz verwendet. Neben den Regeln, die vom Administrator geändert werden können, lassen sich Netzwerkverbindungen auch von Experten regulieren.

Solche Firewalls lassen sich auf verschiedene Weise konfigurieren, indem Ports verwaltet, spezifische Regeln festgelegt und Zugriffskontrolllisten verwendet werden.

Statische Filter sind aufgrund ihrer einfachen Handhabung und des unkomplizierten Installationsprozesses äußerst vorteilhaft. Die größte Einschränkung betrifft die Konfigurationen und die Notwendigkeit, Einstellungen zu aktualisieren. Es gibt fast keine automatisierten Funktionen, sodass kleine Unternehmen davon profitieren, während große Unternehmen in der Regel skalierbarere Einstellungen benötigen.

Firewalls mit dynamischer Paketfilterung

Dynamische Firewalls können ihre ursprüngliche Konfiguration entsprechend den Veränderungen in der Sicherheitsumgebung anpassen. Beispielsweise können die Firewalls so konfiguriert werden, dass Ports während eines bestimmten Zeitraums geschlossen oder geöffnet werden.

Um den enormen Verwaltungsaufwand zu minimieren, kann dieser Firewall-Typ bei der Automatisierung einiger Einstellungen helfen. Die Sicherheitskontrollen in der dynamischen Umgebung können je nach den Umständen entweder gelockert oder verschärft werden.  

Zustandslose Paketfilter-Firewalls

Zustandslose Paketfilter analysieren jedes Paket einzeln. Die Informationen über den Zustand der Pakete werden nicht gespeichert, sodass vordefinierte Regeln angewendet werden, um Sicherheitsstandards zu gewährleisten.

Zustandslose Firewalls arbeiten mit ACLs. Diese beziehen sich auf die Informationen über die Ziel- und Quellports sowie die IP-Adressen.

Zustandsbehaftete Paketfiltersysteme

Hierbei handelt es sich um ein fortgeschritteneres System, das den Zustand der Pakete auswertet, bevor der Zugriff gewährt oder verweigert wird. Ein solches Paketfiltersystem speichert Daten zu jeder Zugriffsanfrage für die meisten Übertragungsprotokolle, insbesondere für UDP und TCP. Mit der Zeit lassen sich detaillierte Profile der Nutzer erstellen, wodurch die Erkennung verdächtiger Aktivitäten erleichtert wird.

Im Allgemeinen gewährleisten diese Optionen eine höhere Sicherheit durch die Nachverfolgung verdächtiger IP-Adressen. Gleichzeitig ist dieses System jedoch aufgrund der Datenerfassungsfunktionen anfälliger für DDoS-Angriffe.

Nachteile von Paketfilter-Firewalls

Die Paketfilter-Technologie entstand in den 1980er Jahren, und seitdem gab es zahlreiche Innovationen in diesem Bereich. Viele Experten sind sich einig, dass ein solcher Ansatz als zu veraltet angesehen werden könnte; daher werden wir hier einige Nachteile dieser Technologie aufzeigen.

1. Eingeschränkte Sicherheitsfunktionen

Die Sicherheitsprobleme bei dieser Technologie entstehen, weil der Zugriff auf der Grundlage oberflächlicher Informationen wie Portnummer, IP-Adresse und Protokolldaten erfolgt. Informationen über die Anwendungsnutzung oder das Gerät des Benutzers werden nicht berücksichtigt.

Zudem erfolgt die Filterung ausschließlich anhand der äußeren Merkmale der Pakete. Befindet sich verdächtiger Code in den Nutzdaten, wird dieser nicht ordnungsgemäß herausgefiltert und gelangt ins Netzwerk.

Als besonders anfällig gilt die stateless Firewall. Da jeder Zugriff separat verarbeitet wird, haben Hacker mehr Angriffsmöglichkeiten. Bei einem Angriffsversuch speichert die Firewall keine Daten zu diesem Vorgang.

2. Grundlegende Protokollierungsfunktionen

Diese Technologie protokolliert nur sehr grundlegende Informationen zum Netzwerkverkehr, was sich direkt auf Compliance-Fragen auswirken kann. Die Standards hinsichtlich der Datenschutzbestimmungen werden immer strenger, und manchmal ist es fast unmöglich, die Integrität allein durch Paketfilterung nachzuweisen.

Auch das Standard-Sicherheitsniveau wird durch das Fehlen von Protokollierung beeinträchtigt, da keine Informationen zu Zugriffsanfragen vorliegen. IT-Experten können Schwierigkeiten haben, verdächtige Aktivitäten zu identifizieren, was zu erheblichen Sicherheitslücken führen kann.    

3. Eingeschränkte Flexibilität

Paketfilter weisen hinsichtlich der gebotenen Flexibilität beim Netzwerkzugang gewisse Einschränkungen auf. Sie ermöglichen eine Filterung nach Portnummern oder IP-Adressen. Im Vergleich zu anderen Optionen der Zugriffsverwaltung ist dies ein äußerst begrenztes Angebot.

Moderne Firewalls können sich automatisch an bestimmte Umstände anpassen und bieten zahlreiche Funktionen. Zwar ermöglichen Paketfilter-Firewalls die manuelle Konfiguration von Regeln, doch gibt es keine Paketprüfung, und das Bedrohungsmanagement ist nicht automatisiert.

4. Ungeeignetheit für große Organisationen

Wenn diese Technologie von kleinen Unternehmen genutzt wird, ist sie sehr einfach und ressourcenschonend. In einem großen Konzern kann dieses System jedoch sehr ressourcenintensiv werden.

Viele Aufgaben müssen manuell verwaltet werden, und es gibt keine Automatisierung bei der Aktualisierung der Regeln. Dies kann zu menschlichen Fehlern und einer höheren Arbeitsbelastung führen.

5. Übermäßiges Vertrauen

Da diese Technologie die Nutzdaten nicht überprüft, können Hacker unter dem Deckmantel vertrauenswürdiger Benutzer auf das System zugreifen.

Ein weiteres Risiko besteht darin, dass diese Technologie keine historischen Daten protokolliert. Es gibt keine Aufzeichnungen über vertrauenswürdige und nicht vertrauenswürdige Benutzer, da solche Firewalls hauptsächlich auf ACLs basieren. Hinzu kommt, dass eine solche Liste veraltet sein kann.

Vergleich von Paketfilter-Firewalls und Proxys

Proxys und Paketfilter-Firewalls können als Alternativen betrachtet werden, da sie den Netzwerkrand durch Überwachung des Datenverkehrs schützen. Sie funktionieren jedoch etwas anders.

Ein Proxy-Server unterscheidet sich von der Paketfilterung dadurch, dass er den Datenverkehr anonymisiert. Dieser Vorgang verbirgt die IP-Adressen, sodass es von außen wesentlich schwieriger wird, den Datenverkehr zu überprüfen. Zudem speichert ein solcher Server Cache-Daten. Das bedeutet, dass zuvor aufgerufene Websites schneller geladen werden.

Einige Proxys können als Gateway genutzt werden und den Zugriff auf bestimmte Anwendungen überwachen. Bestimmte Datenmengen können von den Diensten ausgeschlossen werden. Auch die ausgehenden Netzwerkdaten können überwacht werden.

Dennoch bieten Proxy-Server keine Filterfunktionen oder Paketinspektion. Deshalb lässt sich das bestmögliche Ergebnis durch die Kombination einer Firewall mit Proxy-Servern erzielen.

Paketfilterung vs. zustandsorientierte Firewalls

Firewalls mit Paketfilterung gelten als zustandslos, da Informationen über den Zustand eines Pakets nicht berücksichtigt werden. Der Zustand bezeichnet die Interaktion zwischen Datenpaketen, Servern und Protokollen. Zustandsinformationen verfolgen den Prozess, wenn Informationen zu oder von lokalen Netzwerken übertragen werden. Alle Informationen über das Ziel und die Herkunft der Daten werden von zustandsorientierten Firewalls erfasst. Darüber hinaus können diese Firewalls auch Informationen zur Nutzlast erfassen.

Zudem sammeln zustandsorientierte Firewalls Informationen über alle bisherigen Datenübertragungen. So entsteht ein Protokoll jeder Anfrage. Das bedeutet, dass das System fundiertere Entscheidungen hinsichtlich der Zulassung oder Ablehnung treffen kann.

Da zustandsorientierte Firewalls weitaus mehr Informationen erfassen als Paketfilter, wirkt sich dies auf die Kosten aus. Das bedeutet, dass die Paketfilterung weniger Ressourcen beansprucht und wesentlich schneller ist.

Abschließende Überlegungen: Die Stärken und Schwächen von Paketfilter-Firewalls erkennen

Die Wahl der richtigen Firewall kann eine entscheidende Entscheidung sein, die dazu beiträgt, viele Online-Risiken auszuschließen. Die Paketfilterung ist eine der Optionen, bei der die Paketdaten überwacht und bestimmte Regeln angewendet werden. Diese Art von Firewall hat viele Vorteile, aber auch einige Einschränkungen.

Solche Einschränkungen wirken sich auf die Beliebtheit der Paketfilterung aus. Trotz einiger Nachteile ist sie jedoch immer noch eine gute Wahl, wenn Geschwindigkeit ein wesentliches Kriterium ist.