Willkommen auf unserem Blog!

Written by Franziska Strohmeier
on April 21, 2021

Eine Firewall, frei ins Deutsche übersetzt eine Feuerwand, oder besser Brandmauer, schützt kurz gesagt ein Netzwerk vor Angriffen ähnlich wie eine Brandmauer ein Gebäude oder zumindest einen Abschnitt vor einem Feuer schützt.

Grundsätzlich schützt eine Firewall ein Netzwerk vor unliebsamen Zugriffen, wie etwa durch einen Hacker, oder den Eingang von unerwünschten SPAM Mails. Die meisten Firewalls können auch Zugriffe aufgrund dessen, von wo aus der Zugriff stattfindet abblocken. Da Angriffe in der Regel von außerhalb der EU kommen, wird häufig ein sogenannter Geo-Filter gesetzt. Dieser sorgt dafür, dass nur Zugriffe, die aus der EU kommen zugelassen werden. Versucht jetzt also jemand aus China oder Russland auf das Netzwerk zuzugreifen wird diese Anfrage abgelehnt.

So eine Ablehnung von Anfragen gibt es auch für SPAM Mails und Mails mit virenbefallenem Anhang. Hierbei wird geschaut, woher diese Mail kommt, wie Sie aufgebaut ist, was sie enthält und ob sie Verknüpfungen (z.B. auf Websites) enthält. Hier gibt es jetzt drei unterschiedliche Szenarien:

 

1. Alles in Ordnung – der Idealfall

Die Firewall konnte nichts Verdächtiges erkennen, der Absender ist bekannt oder seine IP-Adresse hat zumindest keinen schlechten Ruf und es wurde nichts Verdächtiges gefunden. Die Mail wird zugestellt.

 

2. Etwas an der Mail ist auffällig

Der Absender ist unbekannt oder die IP-Adresse, von der die Mail kommt, ist auffällig (z.B. auf einer Blacklist), der Inhalt der Mail ergibt keinen Sinn (z.B. wirre Wortfolgen), der Anhang enthält etwas unbekanntes, das potenziell schädlich ist.

Moderne Firewalls haben in der Regel eine sogenannte Sandbox, also einen sicheren Bereich, in dem Unbekanntes „ausprobiert“ werden kann, ohne dass etwas passiert. Ist z.B. der Anhang verdächtig, aber der Hash-Wert, also der Fingerabdruck dazu, nicht bekannt, wird er in dieser Sandbox einmal ausprobiert. Wird hier nichts Schadhaftes festgestellt, wird der Hash-Wert entsprechend markiert und der Anhang freigegeben. Wird der Anhang jedoch als schädlich markiert, enthält er auch hier eine entsprechende Markierung, sodass in Zukunft sofort ersichtlich ist, dass sich hier etwas Schlechtes verbirgt und die Mail wird in Quarantäne verschoben.

 

3. Etwas ist eindeutig schadhaft

Kann etwas an der Mail z.B. anhand des Hash-Wertes direkt als „Böse“ erkannt werden, wird die Mail direkt in Quarantäne verschoben.

 

Spam

 

Im zweiten und dritten Fall wird der Benutzer darüber informiert, dass sich Mails in der Quarantäne befinden, da es auch sein kann, dass Mails fälschlicherweise als gefährlich erkannt wurden. Dies kommt häufig vor, wenn sich z.B. Office Dokumente mit aktivierten Makros im Anhang befinden oder sich Teile eines Codes, also z.B. ein Skript oder der Quellcode von etwas im Anhang befinden.

Durch das Markieren der Hash-Werte, also der Fingerabdrücke einzelner Dateien wird die zukünftige Überprüfung vereinfacht. Ändert sich ein Dokument, ändert sich aber auch der Hash-Wert. Um das Ausfiltern solcher Mails weiter zu erleichtern, können außerdem Sperrlisten (Blacklist) und Freigabelisten (Whitelist) gesetzt werden. Eine Mail-Adresse, die sich auf einer Sperrliste befindet, wird nie zugestellt, eine die sich auf einer Freigabeliste befindet hingegen immer.

 

Eine Firewall prüft also jederzeit, was versucht auf das Netzwerk zuzugreifen und sortiert diese Anfragen dann aus. Entdeckt die Firewall, dass von einer Adresse aus unnatürlich viele Anfragen innerhalb kürzester Zeit kommen (z.B. 10 Anfragen pro Minute), kann sie darauf aufmerksam machen und den zuständigen IT-Admin darüber z.B. per Mail informieren. Ist eine Firewall richtig konfiguriert, blockt diese dann den Absender dieser Anfragen einfach ab. Diese Anfragen erhalten dann auch keine Antworten mehr, sondern werden einfach ignoriert. Damit wird verhindert, dass das angegriffene System überlastet und im schlimmsten Fall einfach ausfällt.

Wichtig ist auch zu beachten, dass viele der hier beschriebenen Punkte nicht von allen Firewalls geliefert werden können, oder zumindest nicht in diesem Umfang, es ist daher wichtig, eine Firewall, wie alle kritischen Bestandteile einer Infrastruktur immer auf dem neuesten Stand zu halten, um sich wirksam schützen zu können.

Eine Brandmauer, die schon 100 Jahre alt ist und nie in Stand gehalten wurde schützt ein Gebäude ja schließlich auch nicht mehr vor einer Feuersbrunst.

 

 

Halten Sie Ihre Schutzmaßnahmen auf dem neusten Stand!

 

Weitere beliebte Blogartikel:

IT-Security Digitalisierung IT Künstliche Intelligenz IT-Kongress

Der erste Schwarzwald-Baar IT-Kongress

Der erste "Schwarzwald-Baar IT-Kongress - Focus on growth" ist ein absolutes Muss für alle Technologiebegeisterten, Inno...

IT-Security Datenschutz Smart Home

So (un)sicher ist Ihr Smart Home

So (un)sicher ist Ihr Smart Home

News IT-Security Datenschutz

Deutschland 2021 auf Platz 2 der meisten Ransomware-Angriffe weltweit

Was wir aus einem Rekordjahr an Cyber-Angriffen lernen können