„Schaut mal, wir haben eine teure Firewall! Äh, nein… gleich zwei!!!“ – Klingt erstmal beeindruckend, oder?. Ist es aber leider nicht. Denn wie so oft gilt in der IT die gleiche Regel wie im privaten: Es kommt nicht auf die Größe an, sondern wie man damit umgeht. Stichwort Konfiguration.
Früher™ saß ich mal in einem Schulungszentrum und wollte auf meinen Server zugreifen. Port 22? Natürlich dicht, 2221 oder sonst was, auch. War ja „wegen Security“. Port 80 und 443 waren offen, weil: Internet. Also lief mein SSH-Server halt temporär auf Port 80 – für genau diese Woche. Die Person neben mir (Verantortlicher für Firewalls in einem AKW) war überaus überrascht, was ich da tue und dass das funktioniert. Anderes Thema. Ist lange her.
Bis dann wohl jemand auf die Idee kam, aus dem Portfilter eine echte Firewall zu machen. Die hat dann wohl in den Traffic reingeschaut, gesehen: „Ah, SSH auf Port 80 – netter Versuch!“ und zack, Verbindung beendet.
Das zeigt: Ports blocken ist nett, aber eben auch nur die halbe Miete. iptables? Ja, ist technisch eine Firewall – aber nur auf Port-Ebene. Wer’s ernst meint, muss eine Ebene tiefer gehen.
Und da frage ich mich: Wie sieht das eigentlich in typischen Büros aus? Da gibt’s doch eine ziemliche Bandbreite:
- „Ich kann so nicht mehr arbeiten, nichts geht mehr!“
bis hin zu
- „Die Firewall steht da, weil… naja, weil man halt eine haben muss. Konfiguriert hat die seit Jahren keiner. Und Externe sind zu teuer. Drucker, Telefon, PC? Alles im gleichen /21. Wird schon gutgehen.“
Die Wahrheit liegt – wie so oft – irgendwo dazwischen. Dabei wäre eine saubere Basiskonfiguration gar nicht schwer. Ein bisschen Struktur, ein bisschen Liebe – und schon ist der Wildwuchs in den Griff zu kriegen.
Hier mal als Gedankenstütze, wie man Firewalls sinnvoll staffeln kann:
| Maßnahme | 🟢 Baseline | 🟡 Erweitert | 🔴 Streng |
|---|---|---|---|
| Interface & Zonen sauber trennen | ✅ | ✅ | ✅ |
| Trusted Hosts, MFA | ✅ | ✅ | ✅ |
| Logging + FortiCloud | ✅ | ✅ | ✅ |
| DNS & Webfilter | – | ✅ | ✅ |
| Application Control | – | ✅ | ✅ |
| IPS | Basis | Volle Signaturen | Volle Signaturen + Automation |
| SSL Inspection | – | Certificate | Deep Inspection |
| Segmentierung (VLANs) | Optional | Empfohlen | Pflicht |
| Remote Access VPN | Basis | MFA & Gruppen | ZTNA (Zero Trust Network Access) |
| DoS / Rate-Limiting | Optional | Empfohlen | Pflicht |
Und weil’s nicht fehlen darf: Drei Tipps, die im Office-Netzwerk sofort helfen:
-
Feste IPs per DHCP für kritische Geräte Drucker, Telefone, Türsteuerung? Bekommen bei Euch eine feste IP – aber nicht manuell, sondern als DHCP-Reservation. Der Vorteil: Ihr habt automatisch eine kleine Dokumentation und könnt zentral verwalten, was wo im Netz steht. Nie wieder „Welcher Drucker war nochmal 192.168.178.47?“
-
Netzsegmentierung nach Abteilung Ja, VLANs klingen wie Arbeit – sind sie auch. Aber sie bringen Struktur. PCs aus dem Vertrieb in ein anderes VLAN als die aus dem Billing. Marketing hat andere Anforderungen als Buchhaltung. Und wenn mal was passiert, ist der Schaden eingegrenzt.
-
Unbekannte Geräte? Kein Zugriff! MAC-Filterung ist kein Allheilmittel, aber als erste Hürde wirksam. Noch besser: Geräte, die nicht bekannt sind, bekommen entweder gar keine IP oder landen automatisch im Gäste-WLAN. Das ist allemal besser, als dass ein Besucher mit seinem Notebook mal eben den Fileserver oder das (ewig ungepatchte) NAS entdeckt. Metasploit-Nutzer freuen sich über solche Setups – aber bitte nicht in Eurem Netzwerk.
Was wir festhalten können
Security ist kein Zustand, sondern ein Prozess. Wer sich nur auf „wir haben eine Firewall“ verlässt, vertraut im Grunde auf Glück. Und das ist bekanntlich keine Strategie. Lieber mit Plan und Struktur. Vielleicht hilft auch schon ein Blick in die Dokumentation. Beispiel-Konfigurationen gibt es auch zuhauf.