Sind Firewalls unnötig? Marc Ruef | 02.04.2013 Man hört immerwieder kritische Stimmen, die Sicherheitsprodukte als Snake-Oil bezeichnen. Dass dies im Zusammenhang mit Antiviren-Lösungen (http://www.computec.ch/news.php?item.379) stimmen kann, wenigstens in Bezug auf den Marketing-Aspekt, habe ich in einem vorangegangenen Beitrag erläutert. Die Kritiker gehen aber noch einen Schritt weiter und behaupten, dass gar Firewalls als Snake-Oil zu taxieren und damit überflüssig sind. Ist dem so? Die klassische Definition einer Firewall fasst zwei Funktionalitäten zusammen: So werden Kommunikationen eingeschränkt und protokolliert. Die Einschränkung der Kommunikation wird deshalb vorgenommen, um unliebsame Zugriffe zu verhindern. Seien dies nun Zugriffe auf angebotene Dienste, die aber nicht für jedermann zur Verfügung gestellt werden sollen (z.B. Administrationsschnittstellen). Oder halt die Erreichbarkeit von verwundbaren Komponenten, deren Übernahme durch das Ausnutzen einer Schwachstelle durchgesetzt werden könnte. Zur Verhinderung beider Fälle wäre theoretisch keine Firewall erforderlich, wenn die Topologie des Netzwerks - namentlich die Zonierung und das Routing - intelligent ausgelegt worden wären. Nämlich dann, wenn ein entsprechender Dienst nur dann netzwerktechnisch durch jene Quellen erreichbar ist, die ihn auch nutzen können sollten (z.B. die legitimen Administratoren aus dem Admin-Netz). Doch dies bedingt, dass die Quellsyteme netzwerktechnisch klar voneinander getrennt werden können. Werden Mechanismen wie DHCP, NAT und VPN eingesetzt, ist das aber nicht mehr ohne weiteres möglich. Und wären Dienste sicher entwickelt und installiert worden, wäre das alles ja gar kein Problem. Ebenso kann die Funktionalität der Protokollierung durch die eingesetzten Clients/Server oder separate Komponenten durchgeführt werden. Auch in diesem Punkt scheinen Firewall-Systeme grundsätzlich obsolet zu sein. Dennoch sieht die Realität halt anders aus. Netzwerke sind einem historischen Wachstum unterworfen, wodurch inkonsistente Zonierungen und wirre Routen erforderlich werden. Applikationen werden fehlerhaft geschrieben und installiert, wodurch unweigerlich irgendwann ungewollt Schwachstellen eingeführt werden. So besteht schlichtweg oftmals gar nicht die technische und/oder wirtschaftlich vertretbare Möglichkeit, die Probleme bei der Wurzel zu packen. Viel effizienter, wenn auch in ihrem wahren Kern eigentlich trügerischer, ist das Hinzuziehen einer Firewall-Komponente. Wenn man aber ehrlich ist, dann wird mit diesem Ansatz lediglich ein Problem verschleiert und verschoben. Die Firewall löst ein Problem, das auf einer anderen Ebene (im Netzwerk oder auf eiem Dienst) eingeführt wurde. Mittelfristig muss man sich halt doch mit den Kernproblemen vernetzter Computersysteme auseinandersetzen. Halt mit scheinbar "primitiven" Aspekten wie Zonierung, Routing, Hardening, Patching und Logging. Das Ziel sollte stets sein, dass ein Netzwerk auch ohne Firewall - die vielleicht soeben falsch konfiguriert wurde oder ausgefallen ist - sicher betrieben werden kann. Doch nur die allerwenigsten Netzwerke können dies.