Tag 10: Firewalls & Netzwerksicherheit

IHK-Vorbereitung · Fachinformatiker Systemintegration

Tag 10: Firewalls & Netzwerksicherheit

Prüfungsbereich

AP1 + AP2

„IT-Sicherheit", „Konzeption & Administration von Netzen"

Kernthemen

4 Typen

Paketfilter, SPI, Proxy/ALG, NGFW – Unterschiede kennen!

Entwicklungsgeschichte & Generationen

Firewall-Typen im Überblick

Die vier Generationen bauen aufeinander auf – jede löst Schwächen der vorherigen. In der Prüfung wird oft gefragt, auf welcher Schicht (OSI) eine Firewall arbeitet und was sie nicht kann.

Grundbegriffe

Firewall Grundlagen

Eine Firewall ist heute für den Schutz lokaler Netze sowie als Schnittstelle zwischen LAN und WAN unabdingbar. Sie filtert ein- und ausgehenden Datenverkehr auf den OSI-Schichten 2 bis 7 basierend auf festgelegten Regeln.

Allow (Accept/Permit)

Der Verkehr wird über die Firewall durchgelassen.

Drop

Daten werden verworfen. Sender erhält keine Nachricht oder ein "Time Out".

Reject/Deny

Daten werden abgewiesen. Sender erhält aktiv eine Fehlermeldung.

OSI Layer 2-7 LAN/WAN Schutz Regelwerk (Ruleset)

Generation 1 · OSI-Schicht 3–4

Paketfilter (Stateless Packet Filter)

Prüft jedes Paket isoliert anhand fixer Regeln: Quell-/Ziel-IP, Quell-/Zielport, Protokoll (TCP/UDP/ICMP). Kein Gedächtnis – jedes Paket wird unabhängig bewertet.

ACL-basiertSchicht 3–4zustandslossehr schnell

✓ Vorteile

Einfach, extrem schnell, geringer Ressourcenbedarf, Router-integrierbar

✗ Nachteile

Kein Verbindungskontext, leicht durch IP-Spoofing täuschbar, kein Schutz vor fragmentierten Paketen

Generation 2 · OSI-Schicht 3–4 + Zustandstabelle

Stateful Packet Inspection (SPI) / Zustandsorientierte Firewall

Führt eine Zustandstabelle (State Table) aller aktiven Verbindungen. Jedes Paket wird im Kontext seiner Verbindung bewertet – ist es Teil einer erlaubten Session? Antwortpakete werden automatisch zugelassen (kein explizites Zurück-Regelwerk nötig).

State TableVerbindungskontextTCP-Handshake-ÜberwachungStandard heute

✓ Vorteile

Kennt Verbindungsstatus (ESTABLISHED, NEW…), schützt vor Spoofing und Session-Hijacking, effiziente Regeln

✗ Nachteile

Kein Einblick in Anwendungsdaten (Payload), kein URL/Inhalt-Schutz

SPI-Zustandstabelle enthält: Quell-IP, Ziel-IP, Quell-Port, Ziel-Port, Protokoll, Verbindungsstatus (SYN_SENT, ESTABLISHED, FIN_WAIT…), Timeout

Generation 3 · OSI-Schicht 7 (Anwendungsschicht)

Application Layer Gateway (ALG) / Proxy-Firewall / Deep Packet Inspection

Bricht die Verbindung auf und agiert als Vermittler (Proxy). Versteht Anwendungsprotokolle (HTTP, FTP, DNS, SMTP…) und prüft den tatsächlichen Inhalt. Zwei separate TCP-Verbindungen: Client↔Proxy und Proxy↔Server.

Schicht 7Proxy / Man-in-the-MiddleURL-FilterungInhaltsprüfungSSL-Inspection

✓ Vorteile

Kennt Inhalte, kann Viren/Malware prüfen, URL-Blacklisting, Authentifizierung möglich, SSL-Entschlüsselung

✗ Nachteile

Langsamer (Verbindungsaufbau 2×), Datenschutzfragen bei SSL-Inspection, ein Proxy pro Protokoll nötig

Generation 4 · Alle Schichten + Threat Intelligence

Next Generation Firewall (NGFW)

Kombiniert alle vorherigen Technologien und ergänzt sie durch moderne Sicherheitsfunktionen. Identifiziert Anwendungen unabhängig vom Port (z.B. erkennt Skype auf Port 443), integriert IPS, Virenschutz, URL-Filterung und nutzt Cloud-basierte Threat Intelligence.

IPS integriertApp-KontrolleNutzeridentitätThreat IntelligenceSSL-InspectionSandboxing

✓ Vorteile

Umfassender Schutz, nutzerbezogene Policies (statt nur IP), erkennt getunnelte/verschlüsselte Bedrohungen, Zero-Day-Schutz

✗ Nachteile

Teuer, komplex, hohe CPU-Last bei aktivem IPS/SSL-Inspection, Lizenzkosten für Features

Vergleichstabelle

Alle Typen auf einen Blick

Typ	OSI-Schicht	Zustand?	Inhalt?	Typischer Einsatz
Paketfilter	3–4	nein	nein	Router-ACLs, einfache Netzabschnitte
SPI	3–4 + State	ja	nein	Perimeter-Firewall, Standardschutz
Proxy / ALG	7	ja	ja	Web-Proxy, HTTP/SMTP-Gateway
NGFW	2–7	ja	ja	Unternehmens-Perimeter, Rechenzentrum
WAF	7 (HTTP)	ja	ja	Vor Webservern (SQL-Injection, XSS)
Host-Firewall	3–4	ja	teilweise	Windows Defender FW, iptables/nftables

Zusatz: IDS vs. IPS

IDS und IPS – Unterschied zur Firewall

🔍

IDS – Intrusion Detection System

Erkennt Angriffe und meldet sie (passiv). Sniffer-basiert – Kopie des Datenverkehrs wird analysiert. Kein direkter Einfluss auf den Verkehr. Alarm bei Anomalien oder Signaturtreffern.

passivOut-of-BandAlarmierungkein Blocking

🛡️

IPS – Intrusion Prevention System

Erkennt und blockiert Angriffe aktiv (aktiv, In-Line). Sitzt im Datenpfad. Kann Pakete verwerfen, Verbindungen zurücksetzen oder Quell-IPs blockieren. In NGFW oft integriert.

aktivIn-LineblockierendFalse-Positives möglich

🌐

WAF – Web Application Firewall

Spezialisierte Firewall für HTTP/HTTPS-Verkehr vor Webservern. Schützt gegen OWASP-Top-10-Angriffe: SQL-Injection, Cross-Site-Scripting (XSS), CSRF. Kann als Reverse Proxy oder Netzwerk-Inline betrieben werden.

HTTP/HTTPSOWASP Top 10SQL-InjectionXSS

Merkhilfe: Prüfungsfragen zu Firewall-Typen

„Was ist der Unterschied zwischen Paketfilter und SPI?" → Paketfilter: zustandslos, jedes Paket einzeln; SPI: kennt Verbindungszustand, prüft im Kontext
„Auf welcher OSI-Schicht arbeitet ein Proxy-Firewall?" → Schicht 7 (Anwendungsschicht)
„Was kann eine NGFW, was eine SPI-Firewall nicht kann?" → Anwendungserkennung, IPS, nutzerbezogene Policies, SSL-Inspection, Threat Intelligence
„Was ist der Unterschied zwischen IDS und IPS?" → IDS erkennt nur (passiv/out-of-band); IPS blockiert aktiv (in-line)
„Was ist eine WAF und wofür wird sie eingesetzt?" → Schicht-7-Firewall speziell für Webanwendungen, schützt vor SQL-Injection, XSS etc.

Grundprinzipien

Whitelist vs. Blacklist – Default-Deny vs. Default-Allow

Default-Deny (Whitelist)

Alles ist verboten, was nicht explizit erlaubt ist. Empfohlenes Sicherheitsprinzip. Nur bekannte, benötigte Verbindungen werden zugelassen. Neue Dienste müssen aktiv freigeschaltet werden.

Default-Allow (Blacklist)

Alles ist erlaubt, was nicht explizit verboten ist. Einfacher zu konfigurieren, aber unsicher – neue Bedrohungen sind bis zur expliziten Sperrung erlaubt. Nur für Low-Risk-Zonen.

Merke: In der IHK-Prüfung ist Default-Deny immer die empfohlene Best Practice. Eine Firewall sollte am Ende jedes Regelwerks eine implizite „Deny-All"-Regel haben.

Regelaufbau

Aufbau einer Firewall-Regel (5-Tupel)

Eine klassische Paketfilter-/SPI-Regel besteht aus diesen Feldern – in der Prüfung muss man Regeln lesen, schreiben und begründen können:

Feld	Bedeutung	Beispielwert
Quell-IP / Netz	Von wo kommt das Paket?	`192.168.10.0/24` oder `any`
Ziel-IP / Netz	Wohin soll das Paket?	`10.0.0.5` oder `any`
Protokoll	TCP, UDP, ICMP, any	`tcp`
Ziel-Port	Dienst auf dem Ziel	`443` (HTTPS)
Aktion	Was passiert mit dem Paket?	`ACCEPT` / `DROP` / `REJECT`
Richtung	Eingehend (IN) oder ausgehend (OUT)	`IN` auf Interface eth0

DROP vs. REJECT: DROP verwirft still (Angreifer weiß nicht, ob Host existiert). REJECT sendet eine Fehlermeldung zurück (ICMP Port Unreachable). DROP ist sicherer, REJECT ist benutzerfreundlicher.

Praxisbeispiel: iptables (Linux)

Typische iptables-Regelkette

iptables ist das klassische Linux-Firewall-Tool (ab Ubuntu 22.04 wird nftables bevorzugt, aber iptables-Syntax ist prüfungsrelevant).

# Alle bestehenden Verbindungen erlauben (SPI-Funktion) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH von intern erlauben (Port 22) iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT # HTTPS von überall erlauben iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ICMP (Ping) erlauben iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Loopback immer erlauben iptables -A INPUT -i lo -j ACCEPT # Alles andere verwerfen (Default-Deny am Ende!) iptables -A INPUT -j DROP

Prüfungsaufgabe-Typ

Regelwerke lesen und Fehler finden

In der AP2 werden oft Firewall-Regelwerke zur Analyse vorgelegt. Häufige Fehler:

Fehler 1 Fehlende Implicit-Deny-Regel: Ohne abschließende „Deny All" ist der Traffic, der keiner Regel entspricht, abhängig vom Default-Policy-Status

Fehler 2 Falsche Regelreihenfolge: Regeln werden top-down abgearbeitet – eine breite ALLOW-Regel vor einer spezifischen DENY-Regel macht die DENY-Regel wirkungslos

Fehler 3 Fehlende Rückrichtung (bei Paketfilter): Bei zustandslosen Firewalls muss auch der Rückweg (ESTABLISHED) explizit erlaubt werden

Fehler 4 Zu weite Regeln: ANY → ANY ALLOW oder Port ANY ALLOW öffnen Einfallstore

NAT NAT-Regeln nicht vergessen: Bei Masquerading (SNAT) für ausgehenden Traffic und DNAT für Portweiterleitung (Exposed Services in DMZ) müssen separate NAT-Regeln existieren

NAT – Network Address Translation

NAT-Typen und Zusammenhang mit Firewalls

SNAT Source NAT / Masquerading: Internes Netz → Internet. Private IP wird zur öffentlichen IP des Routers. Standard in Heimnetz und Unternehmensperimeter

DNAT Destination NAT / Port Forwarding: Eingehender Traffic auf öffentliche IP:Port wird auf interne IP:Port weitergeleitet. Notwendig für Server in DMZ

PAT Port Address Translation: Variante von SNAT – viele interne IPs teilen eine öffentliche IP durch unterschiedliche Quellports. Auch „NAT Overload" genannt

Merkhilfe: Prüfungsfragen zu Regelwerken

„Was bedeutet Default-Deny?" → Alles verboten, was nicht explizit erlaubt – sicherste Variante
„Was ist der Unterschied zwischen DROP und REJECT?" → DROP: stille Verwerfung; REJECT: Fehlermeldung zurück
„Warum steht die Deny-All-Regel am Ende?" → Regeln werden top-down abgearbeitet; Deny-All greift für alles, was keine vorherige Regel trifft
„Was ist DNAT und wofür braucht man es?" → Destination NAT – Portweiterleitung auf interne Server (z.B. Webserver in der DMZ erreichbar machen)

Netzwerkarchitektur

Was ist eine DMZ?

Eine Demilitarisierte Zone (DMZ) ist ein separates Netzwerksegment, das zwischen dem internen (vertrauenswürdigen) Netz und dem Internet (nicht vertrauenswürdig) sitzt. Server, die aus dem Internet erreichbar sein müssen (Webserver, Mailserver, DNS), werden in der DMZ platziert – nicht im internen Netz.

Wird ein Server in der DMZ kompromittiert, hat der Angreifer keinen direkten Zugriff auf das interne Netz, da eine zweite Firewall diesen Weg blockiert.

Architekturmodelle

DMZ-Modell 1: Einfache DMZ (Single Firewall / 3-Bein-Modell)

Eine einzelne Firewall mit drei Interfaces: WAN, DMZ, LAN. Einfacher zu verwalten, aber Single Point of Failure.

🌐 Internet (Untrusted Zone)

Beliebiger Client Angreifer

↕ Firewall-Interface WAN

⚠️ DMZ (Semitrusted Zone) – öffentlich erreichbare Dienste

Webserver (Port 80/443) Mailserver (Port 25/587) DNS-Server (Port 53) Reverse Proxy

↕ Firewall-Interface LAN (strikt!)

🔒 Internes Netz (Trusted Zone)

Arbeitsplätze Datenbankserver AD Domain Controller Fileserver

DMZ-Modell 2: Doppelte Firewall (Screened Subnet)

Zwei separate Firewalls (oft verschiedener Hersteller). Außen-Firewall regelt Internet↔DMZ, Innen-Firewall regelt DMZ↔LAN. Sicherer, aber aufwendiger. Empfohlen für kritische Infrastruktur.

Tipp: Zwei Firewalls verschiedener Hersteller minimieren das Risiko, dass eine Sicherheitslücke beide Ebenen gleichzeitig kompromittiert.

Verkehrsfluss in der DMZ

Erlaubte und verbotene Kommunikationsrichtungen

Von	Nach	Erlaubt?	Begründung
Internet	DMZ	Eingeschränkt	Nur auf definierten Ports der publizierten Dienste (80, 443, 25…)
Internet	Intern	NEIN	Grundsatz – direkter Zugriff aus Internet auf intern nie erlaubt
DMZ	Intern	Nur Ausnahmen	Nur spezifisch nötige Verbindungen (z.B. Webserver → DB) auf bestimmtem Port
DMZ	Internet	Eingeschränkt	Nur für Updates, Antwortpakete (ESTABLISHED)
Intern	DMZ	Ja	Admin-Zugriff auf DMZ-Server erlaubt (z.B. SSH für Wartung)
Intern	Internet	Ja (via Proxy)	Idealerweise über Proxy-Server in der DMZ, nicht direkt

Netzwerksegmentierung

Warum segmentieren? – Zero-Trust und Defense in Depth

Segmentierung teilt ein Netzwerk in kleinere, isolierte Zonen auf. Ziel: Lateral Movement eines Angreifers nach einem erfolgreichen Einbruch einschränken.

VLAN (Virtual LAN)

Logische Trennung auf Schicht 2 (Switch-Ebene). Verschiedene VLANs kommunizieren nur via Router/Layer-3-Switch. Kostengünstig, flexibel. Typisch: VLAN für Server, VLAN für Clients, VLAN für Management.

Physische Segmentierung

Getrennte Switches/Kabel pro Zone. Höchste Sicherheit (Air Gap für kritische Systeme). Teuer und unflexibel – nur für sehr sensible Bereiche (Industrienetz, Rüstung).

Mikrosegmentierung

Granulare Segmentierung bis auf Workload/Container-Ebene. Typisch in Cloud/SDN. Jede VM/jeder Container hat eigene Firewall-Policy. Verhindert Seitwärtsbewegung auch im internen Netz.

Zero Trust

Kein implizites Vertrauen – auch intern. Jede Kommunikation muss authentifiziert und autorisiert werden. Prinzip: „Never trust, always verify." Ergänzt klassische Perimeter-Sicherheit.

Netzwerkkonzepte

Typische Netzwerkzonen-Architektur (Unternehmen)

Zone	Inhalt	Vertrauen	Firewall-Schutz
Internet	Externe Clients, Cloud-Dienste	Kein	Außen-FW, WAF
DMZ / Extranet	Web-, Mail-, DNS-Server, Reverse Proxy	Gering	Zwischen Außen- und Innen-FW
Benutzer-LAN	Arbeitsplätze, WLAN-Clients	Mittel	Innen-FW, NAC
Server-LAN	Datenbankserver, Fileserver, AD-DC	Hoch	Segmentierungsfw, strenge ACLs
Management-LAN	Out-of-Band-Management, IPMI, SNMP	Sehr hoch	Strikte Isolation, nur Admin-PCs
OT / Industrie	SPS, SCADA, Produktionsanlagen	Sehr hoch	Air Gap oder dedizierte FW

Merkhilfe: Prüfungsfragen zu DMZ & Segmentierung

„Was ist eine DMZ und welche Server gehören dort hin?" → Pufferzone zwischen Internet und internem Netz; Webserver, Mailserver, DNS, Reverse Proxy
„Darf ein DMZ-Server direkt auf den Datenbankserver im internen Netz zugreifen?" → Nein, direkte Verbindung DMZ → Intern ist verboten; ggf. über streng kontrollierte Ausnahme-Regel
„Was ist der Vorteil von zwei Firewalls in der DMZ?" → Tiefenverteidigung; Kompromittierung einer Firewall reicht nicht für Zugriff auf internes Netz
„Was ist Lateral Movement?" → Seitwärtsbewegung eines Angreifers im Netz nach Erstzugriff; Segmentierung verhindert/begrenzt dies
„Was unterscheidet Zero Trust von klassischer Perimetersicherheit?" → Zero Trust vertraut auch internen Hosts nicht automatisch; jede Verbindung wird verifiziert

Prüfungsrelevante Ports

Die wichtigsten Ports – auswendig lernen!

Firewall-Regeln verweisen direkt auf Portnummern. Diese Ports sind in AP1 und AP2 regelmäßig Prüfungsthema.

Port(s)	Protokoll / Dienst	Transportprotokoll	FW-Relevanz
20/21	FTP (Daten/Steuerung)	TCP	Oft gesperrt (unverschlüsselt), SFTP bevorzugen
22	SSH / SFTP / SCP	TCP	Zugriff einschränken (nur Admin-Netz)
23	Telnet	TCP	Immer blockieren – unverschlüsselt, veraltet
25	SMTP (Mailversand)	TCP	Nur für Mailserver in DMZ
53	DNS	TCP + UDP	Nur DNS-Server erlauben (UDP für Abfragen, TCP für Zonentransfer)
67/68	DHCP	UDP	Intern, nicht ins Internet
80	HTTP	TCP	DMZ-Webserver; intern via Proxy
110	POP3	TCP	Unverschlüsselt; besser POP3S (995)
123	NTP (Zeitserver)	UDP	Für Kerberos/Log-Synchronisation wichtig
143	IMAP	TCP	Unverschlüsselt; besser IMAPS (993)
161/162	SNMP	UDP	Nur Management-VLAN, niemals ins Internet
389	LDAP	TCP	Intern; nie aus Internet erreichbar
443	HTTPS	TCP	Standardport für gesicherte Webkommunikation
445	SMB (Dateifreigabe)	TCP	Nie ins Internet – WannaCry! Nur intern
465/587	SMTP (verschlüsselt)	TCP	587 = STARTTLS (bevorzugt), 465 = SMTPS
514	Syslog	UDP	Log-Server im Management-VLAN
636	LDAPS	TCP	LDAP über TLS
993	IMAPS	TCP	IMAP verschlüsselt
995	POP3S	TCP	POP3 verschlüsselt
1433	MS SQL Server	TCP	Nur Server-VLAN; nie von außen
3306	MySQL / MariaDB	TCP	Nur Applikationsserver → DB
3389	RDP (Remote Desktop)	TCP	Nie direkt aus Internet; nur via VPN
5060/5061	SIP (VoIP)	TCP/UDP	VoIP-Segmentierung empfohlen
8080/8443	HTTP/HTTPS alternativ	TCP	Häufig für Webproxys und Verwaltungsinterfaces

Protokoll-Grundlagen für Firewall-Regeln

TCP vs. UDP – was die Firewall unterschiedlich behandelt

TCP (verbindungsorientiert)

3-Wege-Handshake (SYN → SYN-ACK → ACK). SPI-Firewall kann Verbindungszustand verfolgen. Rückpakete (ESTABLISHED) automatisch erlaubt. Sauberes Verbindungsende via FIN/RST erkennbar.

UDP (verbindungslos)

Kein Handshake, kein Zustand. SPI muss Timeout-basiert arbeiten – Pakete mit passender Quell/Ziel-Kombination im Zeitfenster werden als „Antwort" akzeptiert. Schwerer zu filtern.

ICMP und Firewall

ICMP Echo Request (Type 8): Ping – oft erlaubt für Monitoring, aber Ratenlimitierung empfehlenswert
ICMP Echo Reply (Type 0): Ping-Antwort – für ESTABLISHED automatisch
ICMP Unreachable (Type 3): Nützlich für Path-MTU-Discovery – blockieren kann Performance-Probleme verursachen
ICMP Redirect (Type 5): Sollte geblockt werden – kann für Routing-Angriffe missbraucht werden

VPN-Protokolle

VPN-Ports und Firewall-Freigaben

VPN-Protokoll	Port(s)	Protokoll	Besonderheit
IPsec IKEv2	5004500	UDP	Standard für Site-to-Site VPN; 4500 für NAT-Traversal
OpenVPN	1194	UDP (oder TCP)	Flexibel, auch über TCP 443 (Firewall-Bypass)
WireGuard	51820	UDP	Modern, performant, einfach
SSL-VPN / HTTPS-VPN	443	TCP	Kaum blockierbar; häufig für Remote-Access
L2TP/IPsec	1701500	UDP	Älter; L2TP allein unverschlüsselt

Merkhilfe: Prüfungsfragen zu Ports & Protokollen

„Welcher Port ist für HTTPS?" → 443/TCP
„Warum sollte Port 445 im Internet geblockt werden?" → SMB-Port – WannaCry und andere Ransomware nutzen ihn; Dateifreigaben nie ins Internet
„Welchen Port nutzt DNS – TCP oder UDP?" → Beide: UDP/53 für normale Abfragen, TCP/53 für Zonentransfer und große Antworten
„Warum ist RDP aus dem Internet gefährlich?" → Brute-Force-Angriffe auf Anmeldedaten, RCE-Lücken; immer nur via VPN
„Was ist NAT-Traversal bei IPsec?" → IPsec verträgt sich schlecht mit NAT; UDP Port 4500 kapselt ESP-Pakete für NAT-Durchquerung

Angriffsvektoren

Angriffe, die die Firewall betreffen

💥

DoS / DDoS – Denial of Service

Überlastung durch massenhaft Anfragen. DDoS = Distributed (viele Quellen). Firewall kann Rate-Limiting und SYN-Cookies nutzen, ist aber allein kein ausreichender Schutz. Upstream-Filterung beim ISP notwendig.

SYN-FloodUDP-FloodICMP-Flood (Smurf)Amplification

🎭

IP-Spoofing

Angreifer fälscht Quell-IP-Adresse in Paketen. Ziel: Regeln umgehen, Antworten umlenken, DDoS-Amplification. Schutz: Ingress-Filtering (uRPF) – Pakete mit internen Quell-IPs am externen Interface verwerfen.

Ingress-FilteringuRPFRFC 2827

🔀

Port-Scanning & Fingerprinting

Angreifer erkundet offene Ports und Betriebssystemversion (Nmap). Schutz: Stealthy-Modus (keine Antwort auf unbekannte Ports = DROP), Banner-Stripping, Honeypots.

NmapSyn-ScanOS-Fingerprinting

🕳️

Firewall-Bypassing – Tunneling

Verbotener Traffic wird in erlaubten Protokollen getunnelt (z.B. DNS-Tunneling, HTTPS-Tunneling). Schutz: DPI (Deep Packet Inspection), DNS-Monitoring, NGFW mit Anwendungserkennung.

DNS-TunnelingHTTP-TunnelingCovert ChannelDPI nötig

🎣

Application-Layer-Angriffe (umgehen Paketfilter)

SQL-Injection, XSS, Buffer Overflow – laufen über erlaubte Ports (80/443). Einfache Firewalls bieten keinen Schutz. Benötigt WAF oder NGFW mit IPS-Signaturen.

SQL-InjectionXSSCSRFWAF erforderlich

Schutzmaßnahmen im Zusammenspiel

Defense in Depth – mehrschichtige Sicherheitsarchitektur

Keine einzelne Maßnahme ist ausreichend. Die IHK-Prüfung erwartet das Verständnis, dass Sicherheit aus mehreren, sich ergänzenden Schichten besteht:

Perimeter-Schutz

NGFW/SPI am Internetübergang, DMZ-Architektur, DDoS-Mitigation beim ISP, VPN für Remote Access

Netzwerk-Segmentierung

VLANs, interne Firewalls zwischen Zonen, Mikrosegmentierung, ACLs auf Switches (Port-Sicherheit, 802.1X)

Endpoint-Schutz

Host-Firewall (Windows Defender FW, iptables), EDR/Antivirus, Patch-Management, Anwendungs-Whitelisting

Überwachung & Reaktion

IDS/IPS, SIEM (Security Information and Event Management), Log-Monitoring, Incident-Response-Plan

Ergänzende Sicherheitskonzepte

Weitere prüfungsrelevante Begriffe

Proxy Forward Proxy: Clients im Netz nutzen den Proxy für ausgehende Anfragen (Caching, Filterung, Authentifizierung, URL-Logging). Verhindert direkte Internetverbindungen der Clients

Rev. Proxy Reverse Proxy: Steht vor Webservern in der DMZ. Clients sehen nur den Proxy (versteckt interne Server-IPs), ermöglicht Load Balancing, SSL-Termination, WAF-Funktion

Bastion Bastion Host / Jump Host: Gehärteter Server als einziger Zugangsweg ins interne Netz. Adminzugriff auf Server nur via Jump Host (SSH-Proxy). Alle Aktionen werden protokolliert

Honeypot Honeypot / Honeynet: Absichtlich verwundbares Fake-System zur Angreifer-Ablenkung und -Erkennung. Jeder Zugriff ist verdächtig (kein legitimer Traffic zu erwarten) → sofortiger Alarm

Screening Screened Host / Screened Subnet: Architekturmuster: Paketfilter-Router davor, dann Bastion Host oder DMZ. „Screening" = Vorfilterung durch einfachen Paketfilter vor der Hauptfirewall

Praxisbezug Projektarbeit

IT-Sicherheitskonzept: Firewall im Projektkontext (D4/D7)

In der betrieblichen Projektarbeit muss das Sicherheitskonzept begründet werden. Typische Inhalte rund um Firewalls:

Schutzbedarfsanalyse: Welche Systeme sind durch die Firewall zu schützen, und warum (Schutzziel + Kategorie)?
Firewall-Typ begründen: Warum SPI statt Paketfilter? Warum NGFW für den konkreten Anwendungsfall?
Regelwerk dokumentieren: Tabellarische Darstellung der Freigaben mit Quell-/Ziel-IP, Port, Protokoll und Begründung
DMZ-Architektur: Wenn Dienste nach außen exponiert werden, DMZ begründen und Verkehrsflüsse dokumentieren
Restrisiken benennen: Was schützt die Firewall nicht? (z.B. verschlüsselter C2-Traffic, Social Engineering)

Im Fachgespräch: Man sollte erklären können, warum man welchen Firewall-Typ gewählt hat und was die Grenzen der Maßnahme sind. „Weil es sicherer ist" reicht nicht – immer mit Schutzziel und konkretem Bedrohungsszenario begründen.

Merkhilfe: Prüfungsfragen zu Angriffen & Schutz

„Was ist ein SYN-Flood-Angriff und wie schützt man sich?" → Angreifer sendet viele TCP-SYN ohne ACK → Server-Ressourcen erschöpft. Schutz: SYN-Cookies, Rate-Limiting in der Firewall
„Was ist DNS-Tunneling?" → Verbotene Daten werden in DNS-Anfragen versteckt – umgeht viele Firewalls. Schutz: DNS-Monitoring, NGFW mit DPI
„Welche Angriffe kann eine einfache Paketfilter-Firewall NICHT abwehren?" → Application-Layer-Angriffe (SQL-Injection, XSS), verschlüsselte Schadsoftware, DNS-Tunneling
„Was ist ein Reverse Proxy und welchen Sicherheitsvorteil hat er?" → Steht vor Webservern, versteckt interne Infrastruktur, ermöglicht zentrale SSL-Terminierung und WAF-Funktion
„Was bedeutet Defense in Depth?" → Mehrschichtige Sicherheitsstrategie – keine einzelne Maßnahme ist ausreichend; Perimeter + Segmentierung + Endpoint + Monitoring