Alles begann mit dem Morris-Wurm

Die Firewall – ein fundamentales Sicherheitskonzept

| Autor / Redakteur: Michael Höppner* / Stephan Augsten

Klassische Firewalls lassen sich mit einer Festung vergleichen, unüberwindbar sind sie aber nicht.
Klassische Firewalls lassen sich mit einer Festung vergleichen, unüberwindbar sind sie aber nicht. (Bild: Archiv)

Gut fünf Jahre lang war das IPv4-basierte Internet ein friedlicher Ort. Im Jahr 1988 endete die harmonische Beziehung von Computer-Nutzern und dem Netz. Gestört wurden sie von einem Wurm namens Morris. Infolge dessen erfand man vor einem Vierteljahrhundert die ersten echten Firewalls. Verschwinden werden sie wohl nie mehr.

Ende der 1980er tummelten sich die ersten Computernutzer im Internet. Damals noch völlig ungeschützt. Es dauerte nicht lange, bis sie dort die erste Schadsoftware antrafen. Bald wurde ein Schutzmechanismus nötig – es war die Geburtsstunde der Firewall. Doch was damals als Firewall galt ist mit dem, was heute Standard ist, kaum zu vergleichen. Was löste die Entwicklung aus, welche Konzepte überzeugten und wie versteht sich die IT-Security heute?

Die Ersten im Netz waren vor allem Universitäten, Regierungsstellen und militärische Einrichtungen. Und Hacker. Den Informatik-Student Robert Tappan Morris trieb 1988 eine an sich harmlose Frage um: Er wollte wissen, wie viele Computer mit dem Internet verbunden waren.

Morris programmierte ein entsprechendes Programm, das durch einen kleinen Fehler zu einem der ersten Netzwerk-Würmer mutierte und zahlreiche Computer lahmlegte. Agenturen vermeldeten daraufhin, das Internet sei kaputt. Morris‘ Wurm ging in die Geschichte ein als der Erste, der die Verletzlichkeit von Computernetzwerken für die breite Öffentlichkeit zeigte.

Lass uns eine Burg bauen!

Den Anwendern wurde klar, dass ihre Daten jedem Angreifer fast schutzlos ausgeliefert waren. Diese Erkenntnis führte zur Geburt der Firewall. IT-Experten orientierten sich anfangs am Modell einer Burg: Sie zeichnet sich durch eine Zahl an Eintrittsmöglichkeiten (Burgtore) sowie eine Vielzahl an Verteidigungsebenen (Graben, Mauer, Wehrgang, Zinnenkranz etc.) aus.

Gleiches gilt für die Firewall: Als Eintrittsmöglichkeiten oder Checkpoints zählen die Ports, als Verteidigungsebenen agieren verschiedene Techniken wie Stateful Inspection, Content Filter oder IDS/IPS. Sie haben die Aufgabe, unerwünschten Traffic zu identifizieren, zu blocken und unerwünschte Eindringlinge zu entfernen. Die Bösen werden ausgesperrt, die Guten bleiben im Inneren des Netzwerkes sicher.

Die Geburtsstunde der klassischen Firewall

Die ersten unbeholfenen Schritte der Sicherheitstechnologie basierten auf den Paketfiltern. Paketfilter setzen auf der Schicht der TCP/IP-Pakete an, die zweierlei Daten enthalten: Nutzdaten (also die Datei) und Verwaltungsinformationen für Empfänger, Paket-Reihenfolge und Applikation. Aufgrund dieser Informationen entscheidet der Filter, welche Pakete passieren dürfen. Die Zuordnung von Paketen und Applikationen erfolgt dabei über die Port-Adresse, und damit ist auch die Schwachstelle der Technik offensichtlich: Bei der Filterung bleiben die tatsächlichen Inhalte unbeachtet.

Circuit-Level-Firewalls verhinderten in der nächsten Phase eine direkte Verbindung zwischen den Netzwerken, doch auf lange Sicht konnten sie die Anforderungen nicht erfüllen. Die darauffolgende Generation wartete mit Bastion Hosts und kombinierten Paketfiltern mit Application Gateways (Proxies) auf. Den Durchbruch auf kommerzieller Ebene erzielte Marcus J. Ranum, der im Juni 1991 erstmals eine Firewall mit dem Namen DEC Seal bei einem Kunden installierte.

Ab 1991 machte eine neue Idee die Runde: Firewalls mit dynamischen Paketfiltern, die den Gesamtkontext analysieren und über ein Gedächtnis verfügen. Die zugrundeliegende Technologie Stateful Packet Inspection (SPI) ist heute Bestandteil der meisten kommerziellen Firewalls.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43011237 / Firewalls)