Die Firewall befindet sich am Rande des Netzwerks und wird nur selten konfiguriert oder auf aktive Kompromittierung hin überwacht, so dass sie ein anfälliges Ziel für anhaltende und gezielte Angriffe darstellt.
Es gibt keine andere Netzwerksicherheitstechnologie, die so allgegenwärtig ist wie die Firewall. Seit fast drei Jahrzehnten wird sie eingesetzt, und immer mehr Unternehmen und Industrieunternehmen schreiben ihren Einsatz vor. Ganz gleich, für wie irrelevant Sie eine Firewall bei der Abwehr des heutigen Spektrums von Cyber-Bedrohungen halten, jedes Unternehmen, das ohne diese Technologie erwischt wird, muss damit rechnen, von Aktionären und Branchenexperten gleichermaßen gehängt, gevierteilt und gefoltert zu werden.
Da der Großteil des Nord-Süd-Netzwerkverkehrs über Ports läuft, die mit HTTP und SSL in Verbindung stehen, werden Unternehmens-Firewalls in der Regel zur Unterdrückung von Störungen eingesetzt - zum Filtern oder Verwerfen von Netzwerkdiensten und Protokollen, die für den Geschäftsbetrieb nicht nützlich oder erforderlich sind.
Aus der Sicht eines Hackers waren Firewalls selten ein Hindernis, in ein Netzwerk einzudringen und Daten abzuschöpfen, da die meisten Zielsysteme HTTP- oder HTTPS-Dienste anbieten.
Was viele nicht wissen, ist, dass die Firewall selbst ein Ziel von besonderem Interesse ist - insbesondere für raffinierte Angreifer. Die Firewall befindet sich am äußersten Rand des Netzwerks und wird nur selten konfiguriert oder auf aktive Kompromittierung überwacht.
Die Aussicht auf eine dauerhafte Hintertür zu einem Gerät, über das der gesamte Netzverkehr läuft, ist für einen Gegner von unüberwindbarem Wert - insbesondere für ausländische Geheimdienste. So wie alle Kriegsparteien des Ersten Weltkriegs nachrichtendienstliche Teams in die Schützengräben schickten, um feindliche Telegrafenleitungen aufzuspüren und Abhörgeräte einzuschleusen, oder wie die Tunnel, die Anfang der 1950er Jahre unter der Berliner Mauer gebaut wurden, um es den britischen und amerikanischen Spionagebehörden zu ermöglichen, die ostdeutschen Telefonleitungen physisch anzuzapfen, durchquert die heutige Kommunikation das Internet, was die Firewall zu einem kritischen Knotenpunkt für das Abfangen und Abhören von Daten macht.
Die physische Firewall ist seit langem ein Ziel für Kompromisse, insbesondere für eingebettete Hintertüren. Vor zwei Jahrzehnten warnte die US-Armee in einem Memo vor Hintertüren, die von der NSA im Firewall-Produkt Checkpoint entdeckt worden waren, und empfahl, es aus allen DoD-Netzwerken zu entfernen. Im Jahr 2012 wurde eine Hintertür in die Firewalls und Produkte von Fortinet eingebaut, die mit dem FortiOS-Betriebssystem arbeiten. Im selben Jahr wurde der chinesische Anbieter von Netzwerkanwendungen Huawei von der US-Regierung aus allen kritischen Infrastrukturen verbannt, nachdem zahlreiche Hintertüren aufgedeckt worden waren. Und erst kürzlich warnte Juniper seine Kunden vor nicht autorisiertem Code und Hintertüren in einigen seiner Firewall-Produkte, die bis ins Jahr 2012 zurückreichen.
Wenn staatlich gesponserte Angreifer nicht in der Lage sind, die Firewall eines Anbieters durch die Vordertür zu hintergehen, werden sie leider damit in Verbindung gebracht, dass sie für die Einführung von Schwachstellen und Fehlern bezahlen, damit diese zu einem späteren Zeitpunkt leichter ausgenutzt werden können. So wird beispielsweise berichtet, dass die US-Regierung im Jahr 2001 die OpenBSD-Entwickler dafür bezahlte , ihren IPsec-Networking-Stack durch eine Hintertür einzubauen, und im Jahr 2004 zahlte die NSA Berichten zufolge 10 Millionen Dollar an RSA, um sicherzustellen, dass der fehlerhafte Dual_EC_DRBG-Algorithmus zur Erzeugung von Pseudozufallszahlen als Standard für das BSAFE-Krypto-Toolkit verwendet wird.
Als wären diese Vektoren nicht schon genug, wie die Snowden-Enthüllungen im Jahr 2013 und der Shadow Brokers-Datenabwurf im Jahr 2016 gezeigt haben, haben Regierungsbehörden immer wieder Schwachstellen ausgenutzt und Backdoor-Toolkits entwickelt, die speziell auf Firewall-Produkte der großen internationalen Infrastrukturanbieter abzielen. Der NSA-Katalog für Tailored Access Operations (TAO) aus dem Jahr 2008 enthält beispielsweise Einzelheiten zu den verfügbaren Tools für die Übernahme der Kontrolle über Cisco PIX- und ASA-Firewalls, Juniper NetScreen- oder SSG 500 Series-Firewalls und Huawei Eudemon-Firewalls.
Nicht zuletzt sollten wir die Einbeziehung von Hintertüren nicht vergessen, die zur Unterstützung der Strafverfolgung gedacht sind, wie z. B. die Funktionen zum "rechtmäßigen Abhören", die leider von einem Angreifer kontrolliert werden können, wie im Fall der griechischen Abhörung von 2004-2005, bei der die Abhörmöglichkeiten einer nationalen Fluggesellschaft von einem nicht autorisierten technischen Gegner übernommen wurden.
Wie Sie sehen können, gibt es eine lange Geschichte von Hintertüren und Bedrohungen, die speziell auf die Firewall-Technologien abzielen, die weltweit als erster Durchgang für die Sicherheit aller Unternehmensnetzwerke eingesetzt werden. Ist es also verwunderlich, dass die Firewall zu einem noch wertvolleren und weicheren Ziel für Kompromisse wird, je stärker unsere Defense-in-Depth-Strategie wird und je mehr neuere Technologien die Bedrohungen in allen Unternehmensnetzwerken im Auge behalten?
Firewalls sind notorisch schwer zu schützen. Wir hoffen, dass sie die Angriffe aller Angreifer abwehren, in der (offensichtlich falschen) Erwartung, dass sie selbst nicht angreifbar sind. Nun, da wir uns zunehmend auf cloud bewegen, sind wir wohl mehr denn je Hintertüren und der Ausnutzung anfälliger Firewall-Technologien ausgesetzt.
Unabhängig davon, ob die Aufgabe darin besteht, den Perimeter oder die Abläufe innerhalb der cloud zu schützen, müssen Unternehmen bei der Überwachung ihrer Firewalls auf Kompromittierungen und Hintertüren erhöhte Wachsamkeit walten lassen. Als Sicherheitsexperte sollten Sie sicherstellen, dass Sie eine vertretbare Antwort auf die Frage haben: "Wie würden Sie den Betrieb einer Hintertür innerhalb Ihrer Firewall erkennen?"
Erfahren Sie mehr über die versteckte Rolle der Infrastruktur in der Angriffsfläche von Rechenzentren und lernen Sie, wie Sie Hintertüren in Ihr Rechenzentrum erkennen können.