Die Gefahren für Netzwerke sind vielfältig und man muss auf allen Ebenen den bestmöglichen Schutz erreichen.
Die Firewallkonzepte der za-internet GmbH setzt auf namhafte Hersteller mit aktiver Subscription für permanente Aktualisierung. Fortinet, Cisco, Sophos oder auch Securepoint sind nur einige Anbieter, die je nach Anforderungen durch die za-internet GmbH zum Einsatz kommen.
Im Idealfall setzen Firmen Firewalls als Cluster ein und erreichen so schon ein sehr hohes Schutzniveau und Ausfallsicherheit. Doch die Gefahren kommen nicht nur aus dem Internet, es können auch lokale Geräte infiziert werden und so ein komplettes Unternehmen lahmlegen.
Hier sorgen Netzwerkpläne und IP-Adresseverteilungen mit VLANS (Segmentierung) für die Trennung der Netzwerkkategorien, wodurch wir erfolgreich eine Ausbreitung vermeiden können.
Firewall Failover-Cluster
Firewall-Failover-Cluster dienen der Ausfallsicherheit und hoch Verfügbarkeit. Zwei Firewalls sind über einen Failover-Link miteinander verbunden. Fällt ein Gerät aus, so übernimmt das zweite Gerät auf anhieb die Funktionalität. Cluster können mit Lastverteilung konfiguriert werden oder so, dass ein Gerät nur eine Standby-Funktion besitzt und nur im Fehlerfall sofort den Betrieb aufnimmt. Die Funktion des Cluster läuft bei richtiger Konfiguration so tadellos, dass kein Ausfall wahr genommen wird und der Betrieb reibungslos weiter geht. Dies bietet auch für Wartungszwecke einen großen Vorteil, da immer eine Firewall gewartet werden kann, solange die andere den Betrieb aufrecht erhält.
Netzwerk-Segmentierung und ausgeklügeltes internes Firewall-Regelset
Aufgrund der hohen Bedrohungslage durch Angriffe auf Firmen Netzwerke über kompromittierte IoT-Geräte (Internet of Things), Drucker, ungeschützte Tablets oder Smartphones, ist es heute erforderlich selbst im internen Netzwerk Firewalls zu nutzen. Gefährliche Netzwerk-Geräte werde dabei über interne Firewalls von kritischen Infrastruktur-Komponenten wie Mail-Server oder ERP-Systeme getrennt. Ransomeware-Attacken bzw. Angriffe generell werden so unterbunden oder zumindest massiv erschwert.
Site-to-Site-VPNs
Firewalls werden in vielen Unternehmen auch zur Standortanbindung untereinander eingesetzt. Das heutige Internet bietet eine so gute Datenübertragungsrate, dass in den meisten Fällen keine Standleitungen bzw. MPLS-Leitungen mehr genutzt werden, sondern sogenannte Site-to-Site-VPNs. Die eingesetzen Firewall-Modelle der za-internet unterstützen diese Technologie.
VPN-Benutzereinwahl
Neben Site-to-Site-VPNs werden Firewalls meistens auch als VPN-Einwahlknoten eingesetzt. Firewalls bieten hierfür einen eigenen VPN-Clients an, Software die auf dem PC bzw. Notebook installiert wird. Damit erhält ein Mitarbeiter beispielsweise von Zuhause oder auch von einem Hotel-Gäste-WLAN Zugriff auf das interne Firmennetz und kann in den meisten Fällen so arbeiten, als wäre er in der Firma.
WebVPN-Portal
Selbst ohne installiertem VPN-Client kann über Firewall weltweit auf das Firmennetz zugegriffen werden. Über das Clientless-VPN-Webportal bieten verschiedene Firewall-Hersteller die Möglichkeit, sich auf der Firewall über SSL (HTTPS) einzuwählen. Dabei wird als Verschlüsselungsstandard SSL (Secure Socket Layer, bekannt aus dem Homebanking) verwendet.
In einer der Portalseite (Webseite auf der Firewall) sind Links zu Unternehmensanwendungen konfiguriert. So erhält der Nutzer auf Klick Zugriff auf beispielsweise Remote-Desktop und Laufwerke im Firmennetz.
Benutzer werden in Gruppen oder einzeln freigeschaltet. Die Verwaltung Benutzerrechte erfolgt über Windows, so dass die Firmenadministratoren Zugriff auf´s Portal nach Belieben freischalten.
Aktuelle Firewalls arbeiten nach dem Prinzip der "Zero-Trust" Strategie: Vertraue niemandem!
Bei der Konfiguration von Firewalls werden grundsätzlich erst einmal alle Dienste und IP-Adressen von außen und innen blockiert.
Nach und nach werden die Standardanwendungen wie Webseitenaufrufe, E-Mails und Telefonie zunächste bei der Grundkonfiguration freigeschaltet.
Nach der Aufstellung wird dann geprüft, welche zusätzlichen Services und Ports benötigt werden und ob sich diese auf bestimmte IP-Adressen intern wie auch extern eingrenzen lassen.
Ein Beispiel:
Für die Übertragung von Datev-Dateien wird von einem Rechner der Buchhaltung eine Verbindung zum Datevrechenzentrum über einen bestimmten Port benötigt. In der Konfiguration wird dann als Quelle der interne Rechner angelegt, dazu gibt es dann den benötigten Port zur Zieladresse des Datev Rechenzentrums. So wird das Risiko enorm reduziert, weil kein anderer Rechner im Netzwerk diesen Dienst nutzen darf und auch von extern kein Zugriff über diesen Port möglich ist, außer der Zugriff kommt vom Datev-Rechenzentrum.
Diese beiden Maßnahmen sollte jede moderne Firewall beherrschen:
IDS = Intrusion Detection System: Erkennen von Angriffen
IPS = Intrustion Prevention System: Blockieren von Angreifern
Als erste Bastion im Netzwerk muss eine Firewall Angriffe detektieren können und diese sofort und zuverlässig unterbinden. Firewalls sind heute in der Lage auch Angriffe anhand von Mustern zu erkennen und zuverlässig zu sperren.
Damit wird Angreifern die Möglichkeit genommen, mehrfach bestimmte Hackversuche an der Firewall auszuführen. Auch diese Methode gehört bei heutigen Firewalls zum Standard.
Firewalls nur mit Subscription
Neuester Softwarestand ist unabdingbar, da sich auch die Hacker ständig weiterentwickeln. Nur eine Firewall mit aktueller Software und Erkennungsmustern kann effektiv ihre Funktion erfüllen.
Ändern sich die Angriffsszenarien, werden auch die Firewalls mit diesen neuen Erkennungen aktualisiert und schütz Server, PCs und auch andere Geräte im Netzwerk.
Als weiteres Mittel zum Schutz von Netzwerken, PCs und Servern hat sich mittlerweile auch immer mehr die Netzwerksegmentierung durchgesetzt.
Das Bedeutet, man teilt das Netzwerk in unterschiedliche Gruppen ein und die gegenseitige Zugriffe werden durch Firewallregeln geroutet. Diese Maßnahme wird immer wichtiger, je mehr IOT (Internet der Dinge) sich in den Netzwerken befinden. IOT sind in der Regel Geräte wie Kameras, Zeiterfassungen, Drucker usw., die alle samt in der Regel kaum Schutz vor Angriffen haben. Es gibt kaum Virenscanner für diese Geräte und so sind diese Geräte in den Fokus von Hackern gelangt.
Mit einer Netzwerksegmentierung wird zum Beispiel geregelt, dass der PC zwar einen Druckauftrag zum Drucker schicken darf, der Drucker aber nur die Möglichkeit hat, seinen Tonerstand mitzuteilen. Ohne eine solche Segmentierung könnten solche Geräte das komplette Netzwerk ausspähen und Server wie auch PCs mit einem Verschlüsselungstrojaner (Ransomware) infizieren! Sind aber die Zugriffe auf diese eine Funktion beschränkt, ist das Netzwerk deutllich sicherer.
Wir beraten Sie gerne bei der Wahl einer passenden Firewall für Ihr Netzwerk! Unsere Spezialisten haben nicht nur jahrelange Erfahrung, sondern kennen auch aus vielen Projekten und täglichen brandaktuellen Fällen die besten Schutzmechanismen.
Hier downloaden!