Firewalls gelten mittlerweile als etabliertes Mittel im Bereich der IT-Sicherheit. Dabei wird in den meisten Fällen das Internet vom LAN durch eine Firewall getrennt ("Perimeter Defense"). Die Firewall dient dabei als "Pförtner", um Verkehr aus dem Internet zu beschränken und zu protokollieren.

Diese Methode ist wirtschaftlich und sicherheitstechnisch sehr effizient, wenn man davon ausgeht, dass alle Außenverbindungen über diesen Perimeter eingehen und ein Großteil der Angriffe von außen erfolgt. Somit wird beispielsweise die aufwändige individuelle Absicherung ("Härtung") der einzelnen Systeme eingespart und dennoch ein akzeptabler Grundschutz erreicht. Unter diesen Voraussetzungen wurde das Grundkonzept weiterentwickelt:

Systeme mit öffentlichen und privaten Diensten werden in einer demilitarisierten Zone (DMZ) angesiedelt. Werden diese Server erfolgreich kompromittiert, soll dies lokal begrenzt bleiben und keinen Zugriff auf sensiblere, interne Systeme ermöglichen. Systeme mit ausschließlich privaten Diensten verbleiben intern.

Die Prüfmethoden und Schutzfunktionen von Firewalls umfassen mittlerweile die OSILayer 3-7, zum Beispiel

• Packet Filter (Layer 3)
• Stateful Inspection und TCP Synproxy (Layer 4)
• Stateful Application Firewall und Content Inspection (Layer 5-7).

Die Firewall als Pförtner prüft zunehmend nicht nur eingehende, sondern auch ausgehende Verbindungen. Dies soll beispielsweise verhindern, dass ein kompromittierter Rechner Spam ungehindert und unbemerkt in die Welt versendet.

Abbildung: Perimeter Defense mit DMZ

Dieses Konzept ist jedoch wirkungslos gegen Angriffe, die von intern erfolgen. Um sich gegen solche Angriffe zu schützen, müssten die internen Systeme wieder individuell abgesichert werden, was wiederum aufwändig und nicht in allen Fällen möglich ist.

Immer mehr Systeme (Maschinen, Prozesse, …) werden in IT-Systemen abgebildet. Diese IT-Systeme unterstützen dabei nicht mehr nur die Produktivität des Unternehmens, sondern werden wesentlicher Bestandteil der Wertschöpfung. Natürlich ist diese Entwicklung schon seit einigen Jahren zu beobachten. Relativ neu ist allerdings die bedingungslose Integration solcher Systeme in die interne IT-Landschaft. So finden sich beispielsweise Labor- und Fertigungssysteme mit embedded Windows95 und TCP/IP Anbindung. Auch hochsensible Systeme werden dabei zunehmend auf Standardkomponenten aufgebaut. Hierzu zählen Geldautomaten, die mit OS/2 betrieben werden, welches nun "end of life" ist und zum Beispiel durch WindowsXP ersetzt wird.

Bei den meisten dieser Systeme steht dabei die Funktion im Vordergrund, auf Sicherheit wird oft kein großer Wert gelegt. Der Hersteller gestattet zudem kaum Eingriffe in das System (Verlust von Support und Gewährleistung). Ein Administrator wäre mitunter gezwungen, ein ungepatchtes Windows95 per TCP/IP in sein LAN zu integrieren. Der Wartungstechniker wählt sich exemplarisch per direktem Dial-In auf diesem System ein und hat damit direkten Zugriff auf das interne LAN. Der ursprüngliche Ansatz "Perimeter Defense" wäre wirkungslos. Einen wirtschaftlichen Ansatz hierfür bietet die Übertragung des ursprünglichen Konzepts:

• Segmentierung des LANs in Zonen, beispielsweise Produktion, Labor, Server und Büro-PCs
• Abschottung der einzelnen Segmente gegeneinander mit Hilfe von Nano-Perimetern

Konzeptionell stellt sich das Problem, dass man möglichst zentral administriert mit wenig Hardware filtern möchte. Firewall-Regeln werden durch die vielen Zonen aber relativ komplex. Abhilfe schafft dabei ein klares Konzept (zum Beispiel ausschließliches Filtern des eingehenden Verkehrs) und die Virtualisierung der zentralen Firewall-Hardware in eine Firewall je Sicherheitszone. Physisch kann die Firewall-Funktionalität dann beispielsweise zentral im Core-Switch implementiert werden.

Abbildung: Zentrale Nano-Segmentierung

Denkbar ist allerdings auch die individuelle Abschottung einzelner Bereiche. Dieses Konzept ist meist einfacher zu implementieren und erhöht die Sicherheit punktuell in hochsensiblen Bereichen. Handelt es sich beispielsweise um eine Werkshalle oder ein Labor, so können mit begrenztem Aufwand die Übergänge ins LAN durch eine BridgeMode-Firewall überwacht werden.

Abbildung: Schutz eines einzelnen Segments