alte Küchengeräte

Firewall


Quellen: A. Grupp, C. Haag, T. Heine, U. Thiessat, Cisco Networking Academy, ZSL Esslingen, 2020

Eine Firewall ist eine Sicherheitsvorrichtung aus Hard- und Software, die den Datenverkehr überwacht und unerwünschte oder gefährliche Verbindungen blockiert.

In diesem Artikel lernst Du die Grundprinzipien der Paketverarbeitung, Firewalltechnologien, Firewallregeln und Policies und die Netzwerkarchitekturen mit Firewall kennen.

1 Grundprin­zipien der Paketver­arbeitung



OSI Layer Paket­name, Aufgabe, Hardware, Protokoll
7 Appli­cation (Anwen­dung) Data
Benutzer­schnitt­stelle
Protokolle: HTTP, HTTPS, FTP, SSH, SMTP, IMAP, DNS, DHCP
6 Presen­tation (Dar­stel­lung) Datei­formate, Kompres­sion, Ver­schlüs­selung
5 Session (Sitzung) Login, Pass­wör­ter, Auf- und Ab­bau von Sit­zung­en
4 Trans­port (Trans­port) Seg­ment
Segmen­tierung, Zuver­lässigkeit, Fluß­kontrol­le, Port­zu­wei­sung des Daten­stroms zur jewei­ligen An­wen­dung
Protokolle: TCP, UDP
3 Network (Vermitt­lung) Packet
logische Adres­sierung mit IP-Adresse, rou­ting
Hardware: Router
Protokolle: IPv4, ICMPv4, IPv6, ICMPv6
2 Data Link (Siche­rung) Frame
physikalische Adressierung mit MAC-Adresse
Hardware: NIC, Switch
Protokolle: ARP, Ether­net/ WLAN
1 Physical (Bitüber­tragung) Bits
physi­kalische Über­tragung von Bits
Hardware: Kabel, Stecker, Anten­nen, Hub
Tab. 1 OSI-Modell mit sieben Schichten.

Analyse von Datenpaketen

Firewalls analysieren Datenpakete und entscheiden, ob diese weitergeleitet oder blockiert werden. Ein Paket (engl. packet) besteht aus dem Header mit der Quell- und Ziel-IP-Adresse und der Payload. In diesem Fall besteht die Payload aus den Portnummern und einzelnen Segmenten mit den eigentlichen Daten.

Eine Firewall kann nun im Bezug auf das OSI-Modell (s. Tab. 1) auf verschiedenen Ebenen kontrollieren:

  • Quell- und Ziel-IP (Layer 3)
  • Quell- und Ziel-Port (Layer 4)
  • Protokolltyp (TCP, UDP, ICMP) und Flags im TCP-Header (Layer 4)
  • Zustand der Verbindung: Vollständigkeit der Segmente (Layer 4)
  • Inhalte der Anwendung (Layer 7)

Verkehrsrichtlinien

Firewalls entscheiden was mit den Paketen passiert (s. Abb. 1):

  • allow: ein Paket darf passieren
  • deny: ein Paket wird blockiert, mit optionaler Antwort an den Absender
  • drop: ein Paket wird stillschweigend verworfen
  • reject: ein Paket wird abgelehnt und der Absender sofort informiert
Client
Header
Payload
Firewall
allow
deny
drop
reject
Server
Header
Payload
Abb. 1 Firewall Paketfluss.

Whitelist- und Blacklistkonzept

Bei einer Whitelist werden nur explizit erlaubte Verbindungen zugelassen und alles andere blockiert. Der hohe Verwaltungsaufwand wird durch eine sehr hohe Sicherheit kompensiert.

Bei einer Blacklist ist alles erlaubt, bis auf explizit verbotene Verbindungen. Eine Blacklist ist viel einfacher zu verwalten, aber weniger sicher, da neue Bedrohungen nicht automatisch erkannt werden.

2 Firewall Technologien

1. Stateless packet inspection

  • Funktionsweise: Die Firewall betrachtet jedes Paket isoliert, ohne Zusammenhang zu vorherigen Paketen.
  • Entscheidungsgrundlage: Quell- und Ziel-IP, Quell- und Ziel-Port, Protokolltyp (TCP, UDP, ICMP), Flags im TCP-Header (z. B. SYN, ACK)
  • Merkmale: sehr schnell, aber Sicherheitsfunktionen sind begrenzt (keine Prüfung von Verbindungszuständen).

2. Stateful packet inspection

  • Funktionsweise: Die Firewall verfolgt den Zustand einer Verbindung (Session) und prüft, ob ein Paket zu einer bestehenden, legitimen Sitzung gehört.
  • Entscheidungsgrundlage: Quell- und Ziel-IP, Quell- und Ziel-Port, Protokolltyp, TCP-Flags, Verbindungszustand
  • Merkmale: Schnell, höhere Sicherheit als stateless, da illegitime Pakete erkannt werden, die z. B. Teil einer gefälschten Session sind.

3. Deep packet inspection - Erweiterung von Stateful

  • Funktionsweise: Die Firewall untersucht zusätzlich den gesamten Inhalt (Payload) der Pakete und analysiert Layer-7-Daten (z. B. HTTP, FTP, E-Mail).
  • Entscheidungsgrundlage: Alle Informationen von Stateful Inspection plus Inhalte des Pakets
  • Merkmale: Langsamer, aber sehr hohe Sicherheit; ermöglicht Filterung nach Anwendungen, Inhalten oder spezifischen Bedrohungen
Fire­wall-Typ prüft Layer Sicher­heit Perfor­manz
stateless IP-Adres­sen, Ports, Proto­koll­typ, Flags 3, 4 + +++
stateful IP-Adres­sen, Ports, Proto­koll­typ, Flags und Ver­bin­dungs­status 3, 4 ++ ++
deep packet inspec­tion IP-Adressen, Ports, Proto­koll­typ, Flags, Verbin­dungs­status und In­halts­ana­lyse 3, 4, 7 +++ +

Neben den drei erwähnten Technologien gibt es noch weitere:

  • Next-Generation Firewall: Kombination aus Stateful + DPI + IDS/IPS mit Features wie App Control, Webfilter, SSL-Inspection und Sandboxing,
  • Proxy-Firewall / Application Layer Firewall: Funktionsweise als Vermittler mit den Typen Forward Proxy / Reverse Proxy,
  • Host-based Firewall, also Betriebssystem-Firewalls (Windows, Linux), mit Regeln pro Gerät statt pro Netzwerk und
  • Cloud-Firewalls / Firewall as a Service mit Skalierbarkeit und Cloud-native Security.

3 Firewall-Regeln und Policies



Aufbau einer Firewall-Regel

Eine Firewall-Regel legt fest, welche Pakete erlaubt oder blockiert werden. Typische Bestandteile sind: Quelle (IP-Adressbereich), Ziel (IP-Adressebereich), Protokoll (TCP, UDP, ICMP), Port / Dienst (z. B. 80 für HTTP), Aktion (Allow, Deny, Drop, Reject) und optional: Zeitpläne, Benutzer oder Anwendung.

Abarbeitung der Regeln

Firewallregeln werden sequentiell (hintereinander von oben nach unten) abgearbeitet. Greift eine Regel, entfallen alle weiteren Regeln. Am Ende steht immer eine sogenannte default policy (deny any).

Best Practices
  • Least Privilege: Nur den notwendigen Zugriff erlauben, alles andere blocken.
  • Cleanup-Rule: Am Ende eine allgemeine „Block all“-Regel, um nicht erfasste Pakete zu stoppen.
  • Logging: Wichtige Regeln protokollieren, um Angriffe oder Fehlkonfigurationen zu erkennen.
Beispielregelsets für unterschiedliche Firewall-Technologien

Stateless-Firewall:

Erlaubt TCP-Port 80/443 von allen externen IPs → Webzugriff und blockiert alle anderen Ports.

Stateful-Firewall:

Erlaubt nur Antworten auf ausgehende Verbindungen und blockiert unaufgeforderte eingehende Pakete.

DPI-Firewall:

Erlaubt HTTP/HTTPS, blockiert Downloads bestimmter Dateitypen, filtert nach Anwendungen (z. B. Social Media blockieren) und protokolliert verdächtige Aktivitäten

4 Access Control Listen - ACL Konzepte

Access Control Listen

Cisco unterscheidet zwischen Standard Access Control Listen und Extended Access Control Listen. Diese werden auf Cisco-Routern erstellt. Jede Liste enthält eine Reihe von Einträgen (Access Control Entries) zum Filtern der Pakete. Jede Liste kann mit dem Eingang eines Interfaces (inbound) oder dem Ausgang eines Interfaces (outbound) verknüpft werden (s. Abb. 1). Dabei gilt: Pro Interface können pro Richtung (inbound, outbound) und Protokoll (standard, extended) zwei ACLs eingebunden werden.

Standard Access Control Listen filtern Layer-3-Pakete ausschließlich auf Basis von IP-Quelladressen. Das bedeutet, dass lediglich geprüft wird woher die Pakete kommen.

Extended Access Control Listen könnnen Quell- und Zieladressen von Layer-3-Paketen filtern. Darüber hinaus ist es möglich auch auf Layer-4-Informationen zu filtern: TCP-,UDP-Ports und optionale Protokolltyp Informationen.

Inbound- und Outbound-ACLs am Router.
Abb. 1: Inbound- und Outbound-ACLs an jede Interface des Routers.

Die Adressbereich werden mit Hilfe von Wildcards anstelle von Subnetzmasken festgelegt. Der Vorteil: Es lassen sich nicht nur ganze Subnetze filtern sondern auch beliebige Adressbereiche. Dabei bedeutet eine 0, dass das Bit übereinstimmen muss und eine 1, dass das Bit beliebig sein darf.

Während 0.0.0.255 das gesamte /24-Subnetz matcht und 0.0.0.63 das gesamte /26-Subnetz, würde 0.0.0.252 mit 255 = 0b11111100 ein Matching der letzten beiden Bits verlangen. Somit können Wildcards exaktere Bereiche prüfen.

Wildcard Beschreibung
0.0.0.255 255 = 0b11111111entspricht dem gesamten /24-Subnetz
0.0.0.63 63 = 0b00111111 entspricht dem gesamten /26-Subnetz
0.0.0.252 252 = 0b11111100 verlangt das die letzten beiden Bits in der Adresse übereinstimmen

5 Standard ACL konfigurieren



I Netzwerk mit vier Adressbereichen.
Abb. 2: Netzwerk mit vier Adressbereichen.

Standard ACL konfigurieren

R1(config)# access-list 2 deny host 192.168.10.1
R1(config)# access-list 2 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 2 deny 192.168.0.0 0.0.255.255
R1(config)# access-list 2 permit any

Jeder Eintrag auf dem Router (s. Abb. 2) startet mit einer Listennummer gefolgt von der Aktion und der Quelladresse mit Angabe der Wildcard für den IP-Adressbereich. Die Einträge haben folgende Bedeutung:

  1. deny host 192.168.10.1 → Ein einzelner Host, Wildcard automatisch 0.0.0.0
  2. permit 192.168.10.0 0.0.0.255 → Erlaubt ganzes Subnetz /24
  3. deny 192.168.0.0 0.0.255.255 → Blockiert gesamtes 192.168.x.x Netz
  4. permit any → Rest wird erlaubt

ACL mit Interface verknüpfen

R1(config-if)# ip access group 2 out

Um eine ACL mit einem Interface zu verknüpfen, geht man auf das Interface und gibt die Listennummer sowie die Richtung an.

6 Netzwerkarchitektur mit Firewalls

Dual Firewall DMZ
Abb. 3: Dual Firewall DMZ.

Single Firewall Setup

  • Definition: Eine einzige Firewall schützt das gesamte Netzwerk, typischerweise zwischen internen Systemen und dem Internet.
  • Vorteile: Einfach einzurichten und kostengünstig.
  • Nachteile: Single Point of Failure – fällt die Firewall aus, ist das ganze Netzwerk ungeschützt

DMZ Firewall Setup

  • Definition: Eine Demilitarisierte Zone (DMZ) ist ein isolierter Netzwerkbereich, in dem öffentlich zugängliche Serverdienste (Webserver, Mailserver) betrieben werden.
  • Ziel: Schutz des internen Netzwerks vor direkten Zugriffen aus dem Internet.
  • Aufbau:
    • Single Firewall DMZ: DMZ und internes Netz hinter derselben Firewall. Jedoch werden die Server direkt an der Firewall angeschlossen. Nachteil ist auch hier der Single Point of Failure .
    • Dual Firewall DMZ: Abb. 3 zeigt zwei Firewalls – eine zwischen Internet und DMZ, die andere zwischen DMZ und internem Netz (bessere Sicherheit).

Arbeitsauftrag 1 Welche Aussage ist wahr?

Wähle die korrekten Aussagen aus.

Nenne den Fehler welcher häufig dazu führt, dass eine ACL nicht wie erwartet funktioniert. Wähle eine Antwort.

  1. Die ACL wird vor der Richtlinie „permit any“ platziert.
  2. Eine ACL enthält mehr als 10 Einträge.
  3. Die ACL wurde mit einer Standardnummer anstelle einer Extended-Nummer erstellt.
  4. Die spezifischen Regeln stehen unterhalb einer allgemeineren Regel, sodass sie nie angewendet werden.


Nenne den typischen Fehler, der dazu führt, dass eine ACL zu viel oder zu wenig Traffic blockiert. Wähle eine Antwort.

  1. Die ACL wird auf ein Interface angewendet, das sich nicht im selben Router befindet.
  2. Die ACL wird im globalen Konfigurationsmodus eingerichtet.
  3. Die ACL verwendet Wildcards anstelle von Subnetzmasken.
  4. Die ACL wird in die falsche Richtung (in/out) oder an der falschen Stelle im Netzwerk platziert.

Welche Wildcard würde das gesamte Subnetz 192.168.30.0/24 abdecken? Wähle eine Antwort.

  1. 0.255.255.255
  2. 0.0.0.15
  3. 0.0.0.255
  4. 255.255.0.0


Nenne eine IP-Adresse, welche von der Wildcard 0.0.0.10 abgedeckt wird. Wähle eine Antwort.

  1. 192.168.1.10
  2. 192.168.1.1
  3. 192.168.1.5
  4. 192.168.1.15

Welche Regel blockiert alle Verbindungen aus dem Netz 192.168.4.0/24? Wähle eine Antwort.

  1. deny 192.168.4.0 0.0.0.255
  2. deny 192.168.4.0 255.255.255.0
  3. deny 192.168.4.0 0.0.255.255
  4. permit any


Welche Wildcard würde ein /26 Subnetz abdecken? Wähle eine Antwort.

  1. 0.0.0.61
  2. 0.0.0.62
  3. 0.0.0.63
  4. 0.0.0.64

Entspann dich erstmal ...



DEFCON 18: Pwned By The Owner: What Happens When You Steal a Hackers Computer

  • Wenn bei dir eingebrochen wird,
  • dein PC gestohlen ist
  • und es keinerlei Spur gibt?

Dann aber, eines Tages taucht eine Spur auf ...

7 Extended ACL konfigurieren



Extended ACL konfigurieren

R1(config)# access-list 100 deny tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config)# access-list 100 permit tcp any any eq 443
R1(config)# access-list 100 deny icmp any any
R1(config)# access-list 100 permit ip any any

Jeder Eintrag in auf dem Router (s. Abb. 4) startet mit einer Listennummer gefolgt von der Aktion und der Quelladresse mit Angabe der Wildcard für den IP-Adressbereich. Danach folgt der Zieladressbereich und die Angabe der Portnummer.

Netzwerk mit drei Routern
Abb. 4 Netzwerk mit vier Adressbereichen und drei Routern.

Die Einträge haben folgende Bedeutung:

  1. deny tcp 192.168.10.0 0.0.0.255 any eq 80 → Blockiert HTTP-Verkehr vom Subnetz 192.168.10.0/24 zu beliebigen Zielen.
  2. permit tcp any any eq 443 → Erlaubt HTTPS-Verkehr von allen Quellen zu allen Zielen.
  3. deny icmp any any → Blockiert alle ICMP-Pakete (z. B. Ping) zwischen beliebigen Hosts.
  4. permit ip any any → Erlaubt den Rest des IP-Verkehrs, der nicht zuvor blockiert wurde.

ACL mit Interface verknüpfen

R1(config-if)# ip access group 100 out

Um eine ACL mit einem Interface zu verknüpfen, geht man wie bereits gezeigt auf das Interface und gibt die Listennummer sowie die Richtung an.

🎯 Arbeitsauftrag 2 ACL-Konfiguration im Netzwerk

Situationsbeschreibung

Du arbeitest als Netzwerkadministrator in einem mittelgroßen Unternehmen.Das Netzwerk besteht aus drei Routern (R1 und R3 sind über R2 miteinander verbunden).Folgende vier Teilnetze sind angebunden: (s. Abb. 4):

  • 192.168.10.0/24 → LAN an Router R1
  • 192.168.11.0/24 → LAN an Router R1
  • 192.168.30.0/24 → LAN an Router R3
  • 192.168.31.0/24 → LAN an Router R3

Deine Aufgabe ist es, den Datenverkehr zwischen diesen Netzen zielgerichtet zu kontrollieren, unter Verwendung von:

  • Standard ACLs (Filtern nach Quell-IP-Bereich)
  • Extended ACLs (Filtern nach Quelle → Ziel, Protokoll, Ports)

Du sollst so konfigurieren, dass bestimmte Netze miteinander kommunizieren dürfen oder blockiert werden – je nach Sicherheitsrichtlinie.

Netzwerk mit drei Routern
Abb. 5 Netzwerk mit vier Adressbereichen und drei Routern.

Folgender Beispiel-ACL ist bereits vorhanden:

access-list 42 deny 192.168.11.0 0.0.0.255
access-list 42 permit 192.168.10.0 0.0.0.255
access-list 42 permit any
Auftragsbearbeitung

2.1 Du möchtest die Besipiel-ACL deinem Mitarbeiter erklären.

2.1.1 Wähle die Aussage, welche die Funktion der Standard-ACL 42 korrekt beschreibt. Wähle eine Antwort.

  1. Sie blockiert den Zugriff von 192.168.10.0/24 auf alle anderen Netze.
  2. Sie blockiert ausschließlich den Traffic aus 192.168.11.0/24 und lässt alle anderen Netze zu.
  3. Sie erlaubt ausschließlich Traffic aus 192.168.11.0/24 zum Router.
  4. Sie blockiert sämtlichen Traffic, da keine „permit any“-Regel existiert.


2.1.2 Eine Anfrage kommt vom Host 192.168.11.23. Wähle die Regel aus, welche für diesen Traffic gilt.

  1. Er wird erlaubt, da er zur zweiten permit-Regel passt.
  2. Er wird zugelassen, da „permit any“ am Ende alles erlaubt.
  3. Er wird erlaubt, weil Standard-ACLs nur die Zieladresse prüfen.
  4. Er wird verworfen, weil der erste Eintrag der Liste diesen IP-Bereich blockiert.



2.1.3 Wähle die korrekte Aussage, die auf die Eigenschaft einer Standard ACL typischerweise zutrifft. Wähle eine Antwort.

  1. Sie filtert anhand von Quelle und Ziel
  2. Sie kann Ports untersuchen
  3. Sie filtert nur anhand der Quell-IP-Adresse
  4. Sie wird immer am Ausgangsinterface platziert


2.1.4 Nenne die Regel, die am Ende einer jeden ACL standardmäßig steht. Wähle eine Antwort.

  1. deny any
  2. deny nothing
  3. permit any
  4. permit everything


2.2 Bevor du dich an die Erstellung eigener ACLs machst, möchtest den Umgang mit Extended ACLs trainieren.

2.2.1 Nenne den Ort, wo in der Regel eine Extended ACL paltziert wird. Wähle eine Antwort.

  1. Möglichst nah am Ziel
  2. Möglichst nah an der Quelle
  3. Immer am zentralen Router
  4. Es spielt keinerlei Rolle


Bestimme die ACL-Regel welche HTTP-Traffic (Port 80) vom Netz 192.168.10.0/24 zum Netz 192.168.31.0/24 erlaubt. Wähle eine Antwort.

  1. permit ip any any
  2. deny tcp any any eq 80
  3. permit tcp 192.168.10.0 0.0.0.255 any eq 80
  4. permit udp 192.168.10.0 0.0.0.255 192.168.31.0 eq 80

2.3 Erstelle eine Standard ACL, die folgenden Anforderungen entspricht:

  • Das Netz 192.168.10.0/24 darf auf alle anderen Netze zugreifen.
  • Das Netz 192.168.11.0/24 soll komplett blockiert werden.
  • Alle übrigen Anfragen sollen erlaubt werden.

Wende die ACL auf der passenden Schnittstelle eines R1-Interfaces an (du bestimmst, welche).

Die Lösung sollte folgendermaßen aussehen:


R1(config)# access-list 15 deny 192.168.11.0 0.0.0.255
R1(config)# access-list 15 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 15 permit any

#R1 Interface Richtung zu R2
R1(config-if)# ip access group 15 out

2.4 Erstelle eine Extended ACL, die folgenden Sicherheitsrichtlinie erfüllt:

  • Das Netz 192.168.30.0/24 soll nur HTTPS-Traffic (TCP 443) zum Netz 192.168.31.0/24 senden dürfen.
  • Jeglicher andere Verkehr zwischen den beiden Netzen soll blockiert werden.
  • Alle anderen Netze sollen unbeeinflusst bleiben.

Erstelle die vollständige extended ACL. Wähle das Interface und die Richtung zum platzieren der Liste und begründe deine Entscheidung.

Die Lösung sollte folgendermaßen aussehen:


R3(config)# access-list 110 permit tcp 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255 eq 443
R3(config)# access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255
R3(config)# access-list 110 permit ip any any

#R3 LAN-Interface Richtung R2
R3(config-if)# ip access-group 110 in

Wortliste und Satzbausteine



stateless packet inspection jedes Paket wird isoliert kontrolliert
stateful packet inspection jedes Paket wird auf Grundlage des Verbindungszustandes kontrolliert
Deep packet inspection wie stateful, nur zusätzlich wird der Inhalt untersucht
DMZ demilitaisierte Zone: isolierter Netzwerkbereich mit öffentlichen und privaten Zugang
ACL access control list
ACE access control entry
Wildcard das Gegenstück zur Subnetzmaske mit erweitertem Adressbereich
Standard ACL Filterung nach Quell-IP-Adressbereich
Extended ACL Filterung nach Quell-IP-Adressbereich, Ziel-IP-Adressbereich, Protokoll und Portnummer