Die Geschichte der Firewall

Wieland Alge ist CEO und Mitgründer von Phion Information Technologies.

Am 2.November 1988 geschah etwas, das als Initialzündung für die Firewall-Entwicklung und den gesamten IT-Sicherheitsmarkt gelten kann: Mit einer Nachricht an eine Mailing-Liste gab die Nasa bekannt, dass verschiedene Forschungseinrichtungen und Universitäten von einem damals noch unbekannten Angreifer attackiert wurden. Der «Morris Wurm», wie er in Folge genannt wurde, alarmierte die Nutzergemeinde und beendete die verbreitete Vorstellung vom Internet als geschlossenem Forum vertrauenswürdiger Forscherkollegen. Den Universitäten, Regierungsstellen und militärischen Einrichtungen, die damals noch die Mehrheit der Anwender stellten, wurde auf einen Schlag klar, dass ihre Daten jedem Angreifer fast schutzlos ausgeliefert waren. Zwar wurden bereits seit 1985 Router und Filterregeln eingesetzt, doch deren Aufgabe lag primär in der LAN-Segmentierung und einfachen Zugangskontrollen - einem echten Angriff waren sie nicht gewachsen.

Angesichts der brisanten Situation, die sich plötzlich aufgetan hatte, liess die Entwicklung der ersten dedizierten Abwehrlösungen nicht lange auf sich warten. Zu Beginn der neunziger Jahre konnten Anwender bereits aus verschiedenen, nicht-kommerziellen Sicherheitslösungen wählen und zu dieser Zeit taucht auch der Begriff «Firewall» erstmalig in einzelnen Publikationen auf. Bei der eingesetzten Technologie handelte es sich um die erste Generation der Paketfilter-Firewalls, die ihre Wurzeln in Ciscos IOS Routern mit Filterregeln hatten. Paketfilter setzen auf der Schicht der TCP/IP-Pakete an, die zweierlei Daten enthalten: Nutzdaten (also die Datei) und Verwaltungsinformationen für Empfänger, Paket-Reihenfolge und Applikation. Nur aufgrund dieser Informationen entscheidet der Filter, welche Pakete passieren dürfen. Die Zuordnung von Paketen und Applikationen erfolgt dabei über die Port-Adresse, und damit ist auch die Schwachstelle der Technik offensichtlich: Bei der Filterung bleiben die tatsächlichen Inhalte unbeachtet. Der Paketfilter kann eine missbräuchliche Verwendung eines eigentlich erlaubten Ports nicht erkennen.

Den nächsten Schritt in der Entwicklung stellen die Circuit-Level-Firewalls dar, die zwischen 1989 und 1990 entwickelt wurden. Diese Gateways verhindern direkte Verbindungen zwischen Netzwerken durch Autorisation der Adressen. Auf lange Sicht konnten auch diese Systeme die steigenden Anforderungen nicht erfüllen. Aber bereits die nächste Evolutionsstufe der Firewall zeigte sich wesentlich anpassungsfähiger und leistungsstärker. Diese Systeme basierten auf so genannten Bastion Hosts und kombinierten Paketfiltern mit Application Gateways (Proxies). Als wahrscheinlich erstes Unternehmen hatte Digital Equipment die Zeichen der Zeit erkannt und ein kommerzielles Firewall-Produkt entwickelt. Die DEC Seal (Secure External Access Link) bestand aus drei Teilen: Einem externen System, das den einzigen Berührungspunkt zum Internet bildete, einem Filtering-Gateway und einem internen Mail-Hub. DEC Seal wurde im Juni 1991 das erste Mal bei einem Kunden eingerichtet und markiert den Beginn der Firewall, wie wir sie heute kennen.

Ab 1991 machte eine neue Idee die Runde unter den Entwicklern der noch jungen IT-Sicherheitsindustrie: Firewalls mit dynamischen Paketfiltern, die nicht nur Informationen über einzelne Pakete sondern den Gesamtkontext analysieren. Im folgenden Rennen setzte sich schliesslich Check Point Software Technologies durch und brachte 1994 ein entsprechendes Produkt auf den Markt. Die zugrundeliegende Technologie ist unter dem Namen Stateful Packet Inspection (SPI) heute Bestandteil der meisten kommerziellen Firewalls. SPI-Firewalls sind im wesentlichen Paketfilter, die eine erweiterte Funktionalität bieten: Es wird geprüft, ob eine zugelassene Verbindung auch wirklich für den definierten Zweck genutzt wird. Diese Firewalls werden als «Stateful» bezeichnet, weil sie Informationen zu bestehenden und früheren Verbindungen in so genannten «State Tables» (Statustabellen) speichern. So lässt sich zum Beispiel erkennen, ob bei einer FTP-Verbindung wirklich nur die entsprechenden FTP-Befehle übertragen werden. Dieses Gedächtnis erlaubt zudem die Identifikation vieler Anomalien, die von Angriffen herrühren könnten.

Das Fortschreiten der Firewall-Technologie ist untrennbar mit der Weiterentwicklung der Angriffsmethoden aus dem Internet verknüpft, und so bedeutet auch Stateful Packet Inspection nicht das Ende der Geschichte. Ab dem Jahr 2000 geriet die Anwendungsschicht des Datenverkehrs zunehmend in das Fadenkreuz der Hacker. Das stellt für SPI-Firewalls ein Problem dar: Auch wenn ein Datenstrom genau den Protokollspezifikationen entspricht, kann er zweckentfremdet werden. Lösungsansätze wie Application-Gateways verwenden daher Proxies für jede einzelne Anwendung, was sich wiederum sehr negativ auf die Performance auswirkt.

Einige Anbieter setzten deshalb inzwischen auf hybride Techniken. Diese Hybrid-Firewalls besitzen Funktionen unterschiedlicher Firewall-Typen. Zumeist bestehen sie aus Paketfilter und Application Level Gateway. Auf diesem Weg wird eine Balance zwischen der Leistungsfähigkeit von SPI- und der zusätzlichen Sicherheit von Application-Level-Gateways erzielt.

An sich könnte die Technologiegeschichte der Firewall hier enden, wenn das Internet nicht so einen unbeschreiblichen Siegeszug durch alle Bereiche der Lebens- und Geschäftswelt vollzogen hätte. Alle heute am Markt befindlichen Firewall-Lösungen bieten ein Mass an Sicherheit, mit dem die Nutzer des Jahres 1988 mehr als ausreichend geschützt gewesen wären. Die aktuellen Hybrid-Technologien bieten das Potenzial, flexibel und in kürzester Zeit auf neue Bedrohungen reagieren zu können - eine Überraschung wie den Morris-Wurm wird es nicht so schnell wieder geben. Aber die zunehmende Vernetzung der Unternehmenslandschaft und die wachsende Verbreitung Internet-basierter Geschäftsprozesse erfordern heute Sicherheitsarchitekturen, die nicht für die reine Verteidigung sondern auch für Management und Connectivity entsprechende Lösungen bereithalten.

Eine Vielzahl von Unternehmen nutzt heute das Internet, um Filialen, Partner und Kunden zu einer flexiblen Wertschöpfungskette zu verbinden. Für diese Unternehmen stellen die bisherigen Firewall-Konzepte oftmals ein Hindernis dar, denn im Vordergrund steht hier immer noch der Ausschluss möglichst vieler potenzieller Angreifer - was aber auch dazu führt, dass die Kommunikation mit erwünschten Partnern erheblich erschwert wird. Das hat zu einem partiellen Umdenken bei den Herstellern geführt, die Firewalls jetzt als Bestandteil einer übergreifenden Connectivity-Infrastruktur positionieren.

Ein weiterer wichtiger Entwicklungsstrang der Firewall-Technologie ist das Management. Anfang der Neunziger erfolgte das Management kommerzieller Firewalls fast durchweg über die manuelle Editierung von ASCII-Dateien. Das war kein Problem, denn kaum ein Unternehmen benötigte mehr als ein oder zwei Gateways. In heutigen Mega-Installationen, die mehrere Hundert Firewalls umfassen können, stellen sich natürlich andere Ansprüche an das Management. Insellösungen haben daher ausgedient, die weitere Entwicklung geht in Richtung hochintegrierter Lösungen, bei denen alle sicherheitsrelevanten Aspekte bis hin zur Betriebssystemebene zentral von einem Minimum an Administratoren verwaltet werden können.

Die Entwicklung der Firewall-Technologien ist untrennbar mit der Geschichte des Internets verbunden - und bleibt dies auch in Zukunft. Obwohl der Perimeter nicht mehr die einzige Verteidigungslinie des Unternehmens bildet, steht die Firewall immer noch im Zentrum jeder Sicherheitsarchitektur. Nach dem derzeitigen Stand der Technik bieten nahezu alle professionellen Firewall-Systeme ein Höchstmass an Schutz vor Hackern und anderen Eindringlingen. Entscheidend für die weitere Entwicklung wird es daher sein, wie gut die Hersteller mit ihren Produkten auf den Kundenwunsch nach sicherer, unterbrechungsfreier Kommunikation und wirtschaftlicher Administration reagieren.