Das Thema Host Firewalls gehört zu den am meisten vernachlässigten Sicherheitsfunktionen in IT Umgebungen. Aus der Vergangenheit heraus sind lokale Firewalls weniger beachtet worden, dabei sind die Firewalls aktueller Betriebssysteme zu ausgereiften Sicherheitseinrichtungen herangewachsen. Aber warum werden diese so wenig beachtet, wenn man damit ein deutliches Plus an Sicherheit gewinnen kann? Zumal die Systeme ja ohne Mehrkosten Bestandteil des Betriebssystem sind.
Microsoft Windows dominiert nach wie vor den Server und Client Bereich in den meisten Unternehmen. Aus der Vergangenheit heraus gehörte es allzu oft zur grundlegenden Einstellung die Firewall von XPpro oder Server 2003 zu deaktivieren. Zugegeben, dass Interface, was Microsoft zur Administration der Firewall angeboten hat, war wohl häufig ein Grund der zur Nichtbenutzung führte. Ein weiterer Grund war leider auch mangelndes KnowHow in Bezug auf IP-Traffic und dem daraus resultierenden Regelwerken, die hätten erstellt werden müssen. Auf diesem Hintergrund ist dann der Firewall auf den aktuellen Systemen von Microsoft wohl kaum Bedeutung zugemessen worden. Dabei hat Microsoft richtig Arbeit in die Firewall-Funktionen ihrer neuen Produkte hineingelegt. Dies ist grundsätzlich sehr positiv zu bewerten und es zeigt, dass der Einsatz von Host-Firewalls einen elementareren Schutz des Systems darstellt. Dies auch aus Sicht von Microsoft, denn die Entwicklung der neuen Windows Firewall dürfte wohl einiges an Ressourcen verbraucht haben.
Für Administratoren von Linux & Co. ist eine leistungsfähige Firewall kein Thema was aufhorchen lässt. Diese Betriebssysteme waren seit jeher damit ausgestattet, als diese auch in produktiven Umgebungen eingesetzt wurden. Noch bevor Microsoft überhaupt an Firewalls gedacht hat, schützen diese Systeme schon ganze Netzwerke. Trotzdem oder gerade deswegen ist es auch für Administratoren von diesen Systemen wichtig, die Firewalls auch zu nutzen bzw. diese zu optimieren. Der Einsatz einer Host-Firewall ist unabhängig vom Betriebssystem ein heute elementarer Schutz einer IT Infrastruktur.
Um aber zu verstehen, warum der Einsatz einer Host-Firewall immer wichtiger wird, muss man sich die Entwicklungen der aktuellen Bedrohungen genauer ansehen und auch diese entsprechend neu bewerten. Zunehmend verbreitet sich Schadcode über das Netzwerk und nicht mehr zwangsläufig in Form von Dateien mit einem Virus. Dazu kommen Trojaner, Backdoors und Bots die alle über das Netzwerk kommunizieren. Viele der neuen Bedrohungen werden erst sehr spät oder manchmal auch gar nicht durch traditionelle AntiViren-Software erkannt. Eine weitere Bedrohung die immer mehr zunimmt sind (D)DoS Attacken. Diese werden durch sogenannte Command&Control Server (CC) gelenkt, die dann hunderttausende von Bots steuern. Auch diese Kommunikation findet über das Netzwerk statt, das Netzwerk ist der gemeinsame Nenner.
Daher liegt es nahe, hier Kontrollmechanismen einzusetzen die an der Basis der Kommunikation ansetzen. Genau für diesen Einsatzzweck eignet sich die Host-Firewall. Im Zuge der immer mehr in Erscheinung tretenden neuen Bedrohungen ist es ein probates Mittel durch die Host-Firewall die Kommunikation entsprechend einzuschränken. Sicherlich bedeutet die Pflege von Host-Firewalls einen höheren Aufwand. Aber betrachtet man dies ganz objektiv, so ist der Aufwand im Vergleich zum Nutzen, der in einem deutlichen Plus an Sicherheit mündet, gar nicht so groß.
Betrachtet man nur den normalen Client in einer Windows Domäne, so sind auf diesem System die Firewall Regeln sehr einfach. Hier sind die von Microsoft vorgesehenen Regeln für den Betrieb innerhalb des Netzwerks der eigenen Domäne schon vorgefertigt. Für einen Standard Client muss also außer der passenden Aktivierung keine weitere Maßnahme ergriffen werden. Einen Client in Form eines Arbeitsplatzes, der zugleich Dienste anbietet sollte es in einer strukturierten Infrastruktur nicht geben. Daher ist das Thema Host-Firewall und Arbeitsplatz und somit die Masse der Systeme schnell erledigt.
Bei den Servern sieht es etwas anders aus. Hier hat aber ebenfalls Microsoft entsprechend vorgearbeitet. Die eigenen Server Dienste sind schon in der Host-Firewall berücksichtigt. Nur Software von Drittanbietern muss entsprechend konfiguriert werden. Aber selbst dies hält sich in Grenzen und bedeutet nur einen sehr geringen Mehraufwand, der meist gegenüber dem eigentlichen Aufwand zur Implementierung eines Services gar nicht mehr ins Gewicht fällt.
Daher spricht überhaupt nichts gegen den Einsatz einer Host-Firewall und die Beschränkung auf nur die notwendige Kommunikation. Leser des Blogs können sich vielleicht noch an die vorherigen Artikel zur lokalen Firewall oder die zum Jericho-Konzept erinnern. Gerade das Jericho-Konzept geht ja in letzter Konsequenz so weit, ganz auf die Firewall am Perimeter zu verzichten. Dies ist zwar nicht die Lösung, aber die Ansätze jeden Host für sich individuell zu schützen ist der richtige Weg. Besonders dann, wenn die Sicherheitssysteme gleich mit dem OS mitkommen und dadurch ohne extra Aufwand schon vorhanden sind. Die vorhandenen Sicherheitssysteme müssen nur benutzt werden.
Fazit: Der Einsatz von Host-Firewalls ist ein wichtiger Bestandteil im Sicherheitskonzept von IT Umgebungen und es gilt nun diesen wichtigen Schutz auch zu verwenden.