Software für das Netzwerkfirewall-Sicherheitsmanagement

Die Netzwerkfirewall-Sicherheit spielt im Sicherheitskonzept jedes Unternehmens eine wichtige Rolle. Eine Firewall ist ein Netzwerksicherheitssystem, mit dem der ein- und ausgehende Netzwerkdatenverkehr überwacht und kontrolliert wird. Dies erfolgt auf der Basis von Regeln, die von IT-Administratoren vorab festgelegt werden. Auf diese Weise kann anhand einer Firewall eine sichere Barriere zwischen einem vertrauenswürdigen internen Netzwerk und einem nicht vertrauenswürdigen externen Netzwerk wie einem LAN (Local Area Network) und dem Internet errichtet werden. Vereinfacht ausgedrückt sind Firewalls Systeme, die für die Sicherheit von Computern sorgen sollen, indem sie den Netzwerkrand schützen. Die Netzwerkfirewall-Sicherheit ist ein Bereich der allgemeinen Netzwerkverwaltung für IT-Administratoren, welche sicherstellen sollen, dass Konfiguration und Bereitstellung der Firewall ausreichend sind, um das interne Netzwerk, die Geschäftsdaten und die Endbenutzer zu schützen.

Bei Firewalls kann es sich um software- oder hardwarebasierte Systeme handeln. Beide Arten von Firewalls gelten als Technologie für den Endpunktschutz. In der Regel werden Hardware-Firewalls als eigenständige Produkte für den Einsatz in Unternehmen veröffentlicht, auch wenn sie oft bereits in einen Router, Switch, Zugriffspunkt oder ein anderes Netzwerkgerät integriert sind. Hardware-Firewalls verfügen normalerweise über eine Reihe von Netzwerkports, um Verbindungen zu mehreren Systemen zu ermöglichen. Bei größeren Netzwerken ist eine umfassendere Software für die Netzwerkfirewall-Sicherheit erforderlich, da mehr Geräte im Netzwerk kommunizieren.

Software für Firewall-Sicherheit wird dagegen auf einem Computer installiert oder ist bereits in ein Betriebssystem oder ein Netzwerkgerät integriert. Bei Software-Firewalls können IT-Administratoren Einstellungen bis zu einem gewissen Grad anpassen. Allerdings bieten sie weniger Kontrolle über Funktionen und Schutzfeatures. Eine Software-Firewall kann ein System vor herkömmlichen Steuerungs- und nicht autorisierten Zugriffsversuchen schützen. Mit komplexeren Netzwerkverletzungen kann diese Art von Firewall jedoch Probleme haben.

Firewalls filtern Netzwerkdatenverkehr, sodass Computer nur die angeforderten Daten erhalten, und verhindern unerwünschte Verbindungen. Um dies wirklich zu verstehen, muss man wissen, wie TCP-Pakete (Transmission Control Protocol) funktionieren.

Wenn Computer Daten über das Internet oder in einem internen Netzwerk senden und empfangen, erfolgt die Kommunikation über TCP-Pakete. Diese Pakete enthalten Informationen wie Quell- und Zieladressen, Paketsequenzinformationen und Nutzlastdaten. Und da TCP-Pakete viele dieser Informationen in ihren Headern enthalten, können sie von Firewalls effektiv gefiltert werden. Anhand der Informationen in den TCP-Paketen kann Ihre Netzwerkschnittstelle Daten ordnungsgemäß übermitteln, und eine Firewall kann diese Informationen mit den von einem IT-Administrator festgelegten Regeln vergleichen. Durch die Kombination der Kontrollinformationen in den ein- und ausgehenden Paketen kann der Verbindungszustand zwischen Sender und Empfänger bestimmt werden.

Hinsichtlich Firewalls gibt es verschiedene Basistypen und bei jedem werden TCP-Pakete unterschiedlich überwacht. Zustandslose Firewalls (die manchmal unter dem Aspekt der Paketfilterung behandelt werden) überwachen Netzwerkdatenverkehr und schränken Pakete auf Basis der Quell- und Zieladressen oder anderer statischer Werte ein bzw. blockieren diese. Dazu werden einzelne Pakete isoliert untersucht, anstatt die übergreifenden Trends des Netzwerkdatenverkehrs zu analysieren. 

Bei zustandsorientierten Firewalls hingegen werden Pakete isoliert betrachtet und auch die Verbindungszustände von Datenströmen berücksichtigt. Das bedeutet, dass zustandsorientierte Firewalls erkennen können, in welcher Phase sich eine TCP-Verbindung gerade befindet (offen, offen gesendet, synchronisiert, Synchronisierung bestätigt oder hergestellt). Anhand dieser Informationen kann eine Firewall feststellen, ob das Paket die Verbindung gestartet hat, Teil einer bestehenden Verbindung war oder überhaupt nicht beteiligt war. Dadurch sind zustandsorientierte Firewalls möglicherweise zwar langsamer als zustandslose Firewalls, aber sie können dadurch auch nicht autorisierte und gefälschte Kommunikation besser erkennen.

Anwendungs-Firewalls sind die neueste Generation von Firewalls. Anwendungs-Firewalls werden manchmal auch als proxybasierte Firewalls bezeichnet und sind so konzipiert, dass sie den Netzwerk-, Internet- und lokalen Systemzugriff sowie Vorgänge zu und von einer Anwendung oder einem Dienst scannen und überwachen. Sie werden häufig als Erweiterungen für andere Firewalls verwendet, da sie im Wesentlichen die Reichweite einer Firewall bis in die Anwendungsschicht hinein erhöhen. Anwendungs-Firewalls sind manchmal netzwerkbasiert, d. h. sie scannen und überwachen den netzwerkbasierten Datenverkehr, der für die Anwendungsschicht bestimmt ist. Sie können auch hostbasiert sein, d. h. sie überwachen den gesamten ein- und ausgehenden Datenverkehr, der von einer Anwendung initiiert wird.

Firewalls können die Netzwerksicherheit erhöhen, indem sie IT-Teams eine genauere Kontrolle darüber ermöglichen, welche Arten von Systemfunktionen und Prozessen Zugriff auf ihre Netzwerkressourcen haben. Bei Verwendung einer Firewall können Netzwerkadministratoren gezielt die jeweiligen Ports auswählen, über die Daten für verschiedene Vorgänge wie Webbrowsing, E-Mail-Kommunikation usw. empfangen und übertragen werden. Firewalls können verschiedene Arten von Signaturen und Host-Bedingungen verwenden, um Datenverkehr zuzulassen oder zu verweigern. 

Wenn IT-Teams einen besseren Einblick in die in ein Netzwerk ein- und ausgehenden Daten erhalten, können sie anhand von Firewalls verdächtige Pakete untersuchen und feststellen, ob in einem verbundenen Netzwerk potenziell gefährliche Aktivitäten stattfinden. Darüber hinaus kann der Einsatz eines Firewall-Netzwerkschutzes Unternehmen dabei helfen, das Eindringen von Hackern in ihr Netzwerk zu verhindern. Ohne Firewall-Sicherheit könnte ein Hacker leichter die Kontrolle über einen Computer in einem Netzwerk erlangen und Daten stehlen, Malware verbreiten oder diesen Computer in ein Botnet integrieren. Ohne eine wirksame Firewall würde es nur wenige Minuten dauern, bis ein mit dem Internet verbundener Computer verschiedenen Formen von Cyberbedrohungen ausgesetzt wäre.

Mit SolarWinds Security Event Manager können IT-Teams ihr Firewall-Sicherheitssystem im Netzwerk verbessern und unbefugte Zugriffe wie Port-Scans, ungewöhnliche Datenpakete, Netzwerkangriffe und ungewöhnliche Datenverkehrsmuster erkennen – und das alles einfacher als je zuvor. Mit SEM können IT-Administratoren Firewall-Prüfberichte generieren und Compliance mithilfe sofort einsatzbereiter Vorlagen nachweisen.

Benutzer können die SEM-Anwendung so konfigurieren, dass Firewall-Informationen von einer Vielzahl von Firewall-Anbietern gesammelt werden, darunter Cisco, Check Point, Software Technologies, Juniper Networks und andere. IT-Administratoren können festlegen, dass diese Firewalls Protokolle an das SEM-Tool senden und für umfassende Netzwerktransparenz Protokolldaten zusammen mit SEM-Ereignissen anzeigen. Nachdem eine Firewall so konfiguriert wurde, dass Protokolle an SEM gesendet werden, können IT-Administratoren den entsprechenden Connector im SolarWinds SEM Manager konfigurieren. 

Zusätzlich können IT-Administratoren benutzerdefinierte Filter erstellen, die bestimmte Firewall-Ereignisse kennzeichnen. Wenn Benutzer gezieltere Einblicke erhalten möchten, können sie beispielsweise einen Filter erstellen, um den gesamten Netzwerkdatenverkehr von einem bestimmten Computer zu überwachen. Sie können auch Connector-Profile und andere Gruppen verwenden, um den Bereich benutzerdefinierter Filter zu erweitern bzw. zu verfeinern. Darüber hinaus verfügt SEM über ein Tool zur Protokoll- und Ereignisanalyse in Echtzeit, sodass IT-Teams unmittelbar bei Auftreten sofortige Einblicke in sämtliche Netzwerkanomalien erhalten können. Dadurch verfügen IT-Administratoren über bessere situationsbezogene Informationen zur gesamten Netzwerklandschaft. 

SolarWinds Security Event Manager kann nicht nur als Software für das Netzwerkfirewall-Sicherheitsmanagement, sondern auch auf viele andere Arten eingesetzt werden. So kann SEM z. B. als Framework für Cyberbedrohungsdaten eingesetzt werden, um IT-Teams bei der Identifizierung von Sicherheitsbedrohungen zu unterstützen und ihnen fundierte Entscheidungen zu potenziellen Sicherheitsproblemen zu erleichtern. Benutzer können benutzerdefinierte Alarme einstellen, sodass Ereignisse, die mit verdächtigen Aktivitäten verbunden sind, umgehend identifiziert werden. Dadurch hat das IT-Team mehr Zeit, Probleme zu beheben, bevor ein Vorfall auftritt.

SEM kann auch als Software zur Datei-Integritätsüberwachung eingesetzt werden, um IT-Teams zu helfen, vertrauliche Informationen vor Diebstahl, Verlust und Malware zu schützen. Benutzer können mithilfe der Dateiintegritätsprüfung Details oder Änderungen an Dateien und Ordnern anzeigen. Auf diese Weise können IT-Teams unerwünschte Dateiänderungen identifizieren, die ein Hinweis auf externe Bedrohungen sein könnten. 

Weitere Tools von SolarWinds für die Sicherheit von Netzwerkfirewalls:

• SolarWinds Patch Manager
• SolarWinds Network Performance Monitor
• SolarWinds Network Configuration Manager

Zugehörige Funktionen:

• Firewall-Protokollanalyse
• Firewall-Sicherheitsprüfung
• Juniper Firewall Analyzer
• Ubuntu Log Analyzer
• SonicWall Firewall Log Analyzer
• Überwachung der Netzwerksicherheit