So funktioniert eine zustandslose Firewall
Das Ziel einer Firewall besteht darin, den Zugriff auf ein geschütztes Netzwerk einzuschränken. Eine Firewall wird im Einklang mit dem in das geschützte Netzwerk ein- und ausgehenden Datenverkehr installiert und ermöglicht die Überprüfung jedes eingehenden oder ausgehenden Pakets. Die Firewall entscheidet anhand ihres integrierten Regelsatzes, ob ein Paket zugelassen oder verworfen wird.
Zwar gibt es einige verschiedene Arten von Firewalls, aber eine zustandslose Firewall ist eine Firewall, die jedes Paket ausschließlich auf der Grundlage der darin enthaltenen Daten, normalerweise des Paket-Headers, bewertet. Der Paket-Header enthält IP-Adressen, Portnummern und andere Informationen, anhand derer die Firewall feststellen kann, ob das Paket autorisiert ist oder nicht.
Eine Firewall kann mit Regeln konfiguriert werden, die den Satz von IP-Adressen begrenzen, die auf das geschützte Netzwerk zugreifen dürfen, oder die nur bestimmten Netzwerkprotokollen erlauben, in das Netzwerk einzudringen oder es zu verlassen. Beispielsweise kann eine zustandslose Firewall so eingerichtet werden, dass sie eingehende HTTPS-Verbindungen zulässt, eingehende SSH-Verbindungen jedoch blockiert. Ebenso kann eine Firewall so konfiguriert werden, dass sie Datenverkehr aus bestimmten geografischen Regionen oder von bekanntermaßen fehlerhaften IP-Adressen blockiert.
Stateful vs. Stateless Firewall
Stateless Firewall werden üblicherweise im Gegensatz zu Stateful Firewall definiert. Der Hauptunterschied zwischen diesen besteht darin, dass zustandsbehaftete Firewall einige Informationen über den aktuellen Status einer aktiven Netzwerkverbindung verfolgen, zustandslose Firewalls dagegen nicht.
Dies ist wichtig, da es der Stateful Firewall ermöglicht, scheinbar legitimen, aber böswilligen Datenverkehr zu identifizieren und zu blockieren. Beispielsweise beinhaltet der TCP-Handshake ein SYN-Paket vom Client, gefolgt von einem SYN/ACK-Paket vom Server, gefolgt von einem ACK-Paket vom Client. Wenn ein Angreifer ein ACK-Paket an einen Unternehmensserver sendet, das nicht auf ein SYN/ACK reagiert, würde eine Stateful-Firewall es blockieren, eine Stateless-Firewall jedoch nicht. Dies bedeutet, dass die zustandslose Firewall bestimmte Arten von Netzwerkscans und andere Angriffe übersieht, die zustandsorientierte Firewalls abfangen und blockieren würden.
Vor- und Nachteile einer Stateless Firewall
Eine zustandslose Firewall ist so konzipiert, dass sie nur Paket-Header verarbeitet und keinen Status speichert. Dies bietet einige Vorteile, darunter die folgenden:
- Geschwindigkeit: Eine zustandslose Firewall führt im Vergleich zu anderen Arten von Firewalls relativ wenig Analyse des Netzwerkverkehrs durch. Daher bietet sie möglicherweise eine geringere Latenz als die Stateful Firewall.
- Skalierbarkeit: Die eingeschränkte Verarbeitung der Stateless Firewallwirkt sich auch auf ihre Skalierbarkeit aus. Aufgrund der begrenzten Verarbeitungs- und Datenanforderungen der Firewall kann dieselbe Hardware möglicherweise mehr Verbindungen mit einer zustandslosen Firewall verarbeiten.
- Kosten: Stateless Firewall sind weniger komplex als andere Firewall Typen. Daher sind sie möglicherweise zu einem günstigeren Preis erhältlich als anspruchsvollere Firewall.
Doch obwohl eine zustandslose Firewall ihre Vorteile hat, stehen ihnen erhebliche Nachteile gegenüber. Stateless Firewall ist nicht in der Lage, viele gängige Angriffsarten zu erkennen, darunter die folgenden:
- Pakete außerhalb der Reihenfolge: Zustandslose Pakete haben keinen Einblick in den aktuellen Status einer Netzwerkverbindung und können legitime Pakete, die absichtlich außerhalb der Reihenfolge gesendet werden, nicht erkennen. Beispielsweise wäre eine zustandslose Firewall nicht in der Lage, viele Arten von TCP-Scans (ACK, FIN usw.) zu erkennen oder eine ohne entsprechende Anfrage gesendete DNS-Antwort zu identifizieren.
- Eingebettete Malware: Stateless Firewall überprüft nur die Header von Netzwerkpaketen, nicht deren Inhalt. Dies macht es für sie unmöglich zu erkennen, ob schädliche Inhalte, wie etwa Malware, in der Nutzlast eines Pakets enthalten sind.
- Angriffe auf Anwendungsebene: Der Fokus der Stateless Firewallauf Paket-Header macht sie auch blind für Angriffe auf der Anwendungsebene. Beispielsweise wäre die Ausnutzung von Webanwendungs-Schwachstellen oder Angriffe auf die Cloud-Infrastruktur für diese Firewall unsichtbar.
- Distributed-Denial-of-Service-Angriffe (DDoS): Bei einem DDoS-Angriff werden häufig große Mengen an Spam-Paketen an ein Ziel gesendet. Da diese Pakete legitim aussehen und eine zustandslose Firewall jedes Paket einzeln prüft, würde sie diese Art von Angriff übersehen.
Die zustandslose Firewall ist möglicherweise effizienter als die zustandsbehaftete Firewall. Allerdings sind sie für die meisten modernen Angriffe völlig blind und bieten einem Unternehmen nur begrenzten Nutzen.
Firewall-Sicherheit mit Check Point
Die Wahl der richtigen Firewall ist für den Erfolg des Cybersicherheitsprogramms eines Unternehmens von entscheidender Bedeutung. Zum Schutz vor modernen Bedrohungen ist die einzige Option eine Firewall der nächsten Generation (NGFW), die mehrere Sicherheitsfunktionen für umfassende Sicherheitstransparenz und wirksame Bedrohungsprävention integriert. Erfahren Sie in diesem Käuferleitfaden für NGFWs mehr darüber, worauf Sie bei einer Firewall achten sollten.
Check Point bietet eine Reihe von NGFWs an, die auf die individuellen Anforderungen jedes Unternehmens zugeschnitten sind. Um mehr über die Fähigkeiten von Check Point NGFWs zu erfahren und die richtige Wahl für Ihr Unternehmen zu finden, melden Sie sich noch heute für eine kostenlose Demo an.
Feedback