Pragmatisch abgesichert: Firewalls verstehen, ohne wahnsinnig zu werden

Ganz ehrlich: Viele glauben immer noch, eine Firewall sei ein magisches Gerät, das man hinstellt und dann ist alles gut. Bullshit. Eine Firewall ist ein Regelwerk. Stell sie dir wie einen Türsteher vor, der eine extrem pingelige Gästeliste hat. Wenn du nicht draufstehst, kommst du nicht rein – egal, wie nett du fragst.

Im Kern geht es darum, den Traffic zwischen zwei Netzwerken (meistens deinem privaten LAN und dem wilden Internet) zu kontrollieren. Dabei schaut sich die Firewall IP-Adressen, Ports und Protokolle an. Wer heute noch ohne eine sauber konfigurierte Firewall unterwegs ist, kann seine Passwörter auch gleich an die nächste Bushaltestelle kleben.

Die Evolution: Von der Schranke zum Röntgengerät

Heute unterscheiden wir zwischen mehreren Firewall-Generationen. Wer noch immer nur auf einfache Paketfilter der ersten Generation setzt, bewegt sich technisch gesehen auf dem Stand der 90er-Jahre. Solche Systeme prüfen im Grunde nur die grundlegenden Header-Informationen eines Datenpakets: Woher kommt es, wohin soll es gehen und über welchen Port läuft die Verbindung. Mehr passiert nicht. Gegen moderne Angreifer ist das schlicht zu wenig.

Der heutige pragmatische Standard ist deutlich weiter. Bei der Stateful Inspection merkt sich die Firewall den Zustand einer Verbindung. Wenn du zum Beispiel eine Website aufrufst, lässt sie die Antwort nur deshalb wieder hinein, weil sie erkennt, dass die Anfrage ursprünglich von dir kam. Dadurch wird verhindert, dass Datenpakete einfach wahllos von außen ins Netzwerk gelangen.

Noch interessanter wird es bei sogenannten Next-Generation Firewalls, also NGFWs. Diese Geräte beherrschen Deep Packet Inspection. Das bedeutet, sie schauen nicht nur auf den Umschlag eines Datenpakets, sondern im übertragenen Sinn auch auf den Inhalt des Briefes. So kann die Firewall erkennen, ob sich in einem scheinbar harmlosen Download in Wahrheit Schadsoftware versteckt oder ob eine Anwendung versucht, unbemerkt Daten an externe Server zu senden.

Zonen-Management: Trenne, was nicht zusammengehört

Ehrlich gesagt, ist der größte Fehler in den meisten Heim- und KMU-Netzwerken die fehlende Segmentierung. Alles ist in einem großen Topf: Dein PC, dein Server, deine Überwachungskamera aus Fernost und der smarte Kühlschrank.

Eine gute Firewall nutzt Zonen:

• WAN (Internet): Die böse Welt da draußen.
• LAN (Intern): Deine vertrauenswürdigen Geräte.
• DMZ (Demilitarisierte Zone): Hier stehen Server, die von außen erreichbar sein müssen (z.B. dein Webserver). Wenn der gehackt wird, kommt der Angreifer von dort aus nicht direkt in dein privates LAN.

Die wichtigste Regel in jeder Firewall ist die letzte – Drop All. Alles, was nicht explizit erlaubt ist, muss blockiert werden. Viele Admins sind zu faul und schalten „Allow All“ ein, weil dann „alles funktioniert“. Ja, Überraschung: Für die Hacker funktioniert dann auch alles.

Meiner Meinung nach ist eine Firewall nur so gut wie der Mensch, der sie pflegt. Du brauchst keine 5.000-Euro-Enterprise-Box, wenn du die Basics nicht verstehst. Eine gut konfigurierte pfSense oder eine OPNsense auf einem kleinen Mini-PC schlägt jede teure Hardware, die nur mit Standardeinstellungen läuft, um Längen. Fang klein an, segmentiere dein WLAN für Gäste und dein IoT-Geraffel, und du hast schon mehr für deine Sicherheit getan als 80 % der restlichen User.

Eine Firewall ist das Fundament jeder Netzwerk-Security. Von einfachen Paketfiltern über Stateful Inspection bis hin zu modernen Next-Gen Firewalls (NGFW) mit Deep Packet Inspection (DPI) hat sich die Technik massiv entwickelt. Das wichtigste Prinzip bleibt „Least Privilege“: Erlaube nur das Nötigste und segmentiere dein Netzwerk in Zonen (LAN, WAN, DMZ), um Schäden bei einem Einbruch zu begrenzen.

Hast du dein Netzwerk schon in VLANs oder Zonen unterteilt, oder vertraust du noch darauf, dass dein Standard-Router alle Angriffe von alleine abwehrt?