Zum Inhalt

Firewalls & Netzwerksegmentierung

Firewalls und Netzwerksegmentierung – Deep Dive

Das Hauptkapitel hat erklärt, was eine Firewall ist, und warum eine Fritz!Box diese Anforderungen nicht erfüllt. Dieser Deep Dive geht einen Schritt weiter: Welche Arten von Firewalls gibt es? Gegen welche Angriffe schützen sie – und gegen welche nicht? Wie baut man ein sinnvoll segmentiertes Netz auf? Und was braucht man dafür an Hardware?

Firewall-Typen: Vom einfachen Filter zur intelligenten Analyse

Nicht jede Firewall ist gleich. Die Bezeichnung umfasst ein breites Spektrum von Technologien mit sehr unterschiedlichen Fähigkeiten.

Paketfilter (Stateless Firewall)

Die einfachste Form. Ein Paketfilter prüft jeden einzelnen Netzwerkpakete anhand fester Regeln: Erlaubt sind Pakete von dieser IP-Adresse, an diesen Port, über dieses Protokoll. Alle anderen werden verworfen. Der Paketfilter hat kein Gedächtnis – er weiß nicht, ob ein eingehendes Paket zu einer Verbindung gehört, die ein internes Gerät initiiert hat, oder ob es ein ungebetener Angriff ist.

Paketfilter sind schnell und ressourcenschonend, aber eingeschränkt. Sie sind heute meist als erstes Element in komplexeren Systemen eingebaut, nicht mehr als eigenständige Lösung.

Stateful Inspection Firewall

Der aktuelle Standard für die meisten Einsatzbereiche. Diese Firewalls verwalten eine Verbindungstabelle: Sie merken sich, welche Verbindungen interne Geräte nach außen aufgebaut haben, und erlauben eingehende Antwortpakete nur dann, wenn sie zu einer bestehenden Verbindung gehören. Pakete ohne passenden Eintrag in der Tabelle werden verworfen.

Das klingt nach dem, was die Fritz!Box auch tut – und tatsächlich ist NAT eine vereinfachte Form dieses Prinzips. Der Unterschied liegt in der Konfigurierbarkeit, den Logging-Möglichkeiten, der Unterstützung für ausgehende Regeln und der Möglichkeit, das Verhalten gezielt zu steuern.

Application Layer Firewall / Next-Generation Firewall (NGFW)

Diese Systeme analysieren nicht nur, wohin Daten gehen, sondern was sie enthalten. Sie erkennen Protokolle unabhängig vom Port (also auch dann, wenn jemand Schadsoftware-Kommunikation über Port 443 versteckt), identifizieren Anwendungen und können Regeln auf Anwendungsebene durchsetzen.

Moderne NGFWs kombinieren diese Fähigkeit mit Intrusion Detection und Prevention (IDS/IPS), SSL-Inspektion (Entschlüsselung und Analyse von HTTPS-Verkehr), DNS-Filtering und teils auch Antivirusscan des Datenverkehrs. Diese Systeme waren lange nur für Unternehmen erschwinglich – heute gibt es Software-Lösungen, die auf handelsüblicher Hardware betrieben werden können.

Gegen welche Angriffe schützt eine Firewall?

Eine Firewall ist kein Allheilmittel. Was sie kann und was nicht, lässt sich klarer einordnen, wenn man konkrete Angriffsszenarien betrachtet.

Was eine Firewall verhindert:

Port-Scans und ungebetene eingehende Verbindungen. Angreifer scannen das Internet systematisch nach erreichbaren Diensten – offene Ports auf Routern, Servern oder Geräten. Eine korrekt konfigurierte Firewall zeigt nach außen keine offenen Ports, die nicht bewusst freigegeben sind. Was nicht erreichbar ist, kann nicht angegriffen werden.

Zugriff auf interne Dienste. Ein NAS, ein interner Server, eine Datenbankinstanz – all das soll nicht aus dem Internet erreichbar sein. Die Firewall sorgt dafür, dass diese Dienste intern verfügbar sind, aber von außen unsichtbar bleiben.

Command-and-Control-Kommunikation nach Infektion. Schadsoftware, die sich auf einem Gerät eingenistet hat, muss in der Regel nach außen kommunizieren – um Daten abzuziehen, Befehle zu empfangen oder Ransomware-Schlüssel zu übertragen. Eine Firewall mit ausgehenden Regeln kann diese Kommunikation blockieren oder zumindest sichtbar machen, wenn plötzlich ungewöhnlicher ausgehender Traffic auftritt.1

Lateral Movement – Ausbreitung im Netz. Hat ein Angreifer oder eine Schadsoftware ein Gerät kompromittiert, versucht sie in der Regel, sich von dort auf weitere Geräte im Netz auszubreiten. In einem flachen Netz – alle Geräte im selben Segment – ist das einfach. Durch Segmentierung (dazu unten mehr) und Firewall-Regeln zwischen den Segmenten lässt sich diese Ausbreitung erheblich erschweren.

Was eine Firewall nicht verhindert:

Angriffe über erlaubte Verbindungen. Eine Firewall erlaubt in der Regel ausgehenden HTTPS-Verkehr. Phishing-Seiten, manipulierte Downloads und bösartige Inhalte kommen genau über diesen Kanal. Die Firewall sieht, dass eine Verbindung zu einer Website aufgebaut wird – aber nicht, ob die Seite schädlich ist. Dafür braucht es zusätzliche Maßnahmen: DNS-Filtering, Browser-Schutz, Antivirussoftware auf dem Gerät.

Fehler des Benutzers. Wenn jemand auf einen Phishing-Link klickt, ein manipuliertes Dokument öffnet oder einem Social-Engineering-Angriff erliegt, hilft die Firewall nur begrenzt weiter.

Verschlüsselte bösartige Inhalte. HTTPS verschlüsselt den Inhalt der Kommunikation – auch wenn die Kommunikation von Schadsoftware stammt. Eine Application Layer Firewall mit SSL-Inspektion kann das analysieren, aber diese Konfiguration ist komplex und für kleine Setups oft unverhältnismäßig.

VLANs und Netzwerksegmentierung: Sicherheit durch Trennung

Die wirkungsvollste Maßnahme gegen die Ausbreitung von Angriffen im eigenen Netz ist die Segmentierung: Das Netz wird in logische Zonen aufgeteilt, die nur über definierte, kontrollierte Wege miteinander kommunizieren können.

Das Konzept dahinter ist das Prinzip minimaler Rechte: Jedes Gerät darf nur mit den Systemen kommunizieren, mit denen es das auch wirklich muss.

Was ist ein VLAN?

Ein VLAN – Virtual Local Area Network – ist eine logische Netzwerktrennung, die auf einem Switch implementiert wird. Obwohl alle Geräte physisch am selben Switch hängen, sehen sie jeweils nur die Geräte in ihrem eigenen VLAN. Aus ihrer Perspektive befinden sie sich in einem getrennten Netz.

Die Trennung ist vollständig: Ein Gerät im VLAN „IoT" kann nicht direkt mit einem Gerät im VLAN „Arbeit" kommunizieren – es sei denn, der Datenverkehr wird explizit über eine Firewall geleitet, die diese Kommunikation prüft und gegebenenfalls erlaubt.

Eine einfache, aber effektive Netzwerkstruktur für Selbständige

Für ein kleines Büro oder ein Homeoffice mit erhöhten Sicherheitsanforderungen reichen drei Zonen aus:

Zone 1 – Arbeit: Laptop, Desktop, Drucker, NAS mit Arbeitsdaten. Vollständiger Internetzugang, Zugriff auf interne Ressourcen. Keine Kommunikation mit IoT oder Gästen.

Zone 2 – IoT: Smart-Home-Geräte, IP-Kameras, smarte Lautsprecher, Fernseher. Internetzugang für Firmware-Updates und Cloud-Dienste. Kein Zugriff auf Arbeitsnetz oder Gäste.

Zone 3 – Gäste: WLAN für Besucher und nicht vertrauenswürdige Geräte. Nur Internetzugang. Kein Zugriff auf Arbeitsnetz oder IoT.

Die Firewall sitzt zwischen diesen Zonen und dem Internet. Sie entscheidet, welcher Traffic zwischen den Zonen und nach außen erlaubt ist. Ein IoT-Gerät, das versucht, mit einem Gerät im Arbeitsnetz zu kommunizieren, wird von der Firewall blockiert – selbst wenn es kompromittiert ist.

Internet
    │
 [Firewall]
  /  │  \
IoT Arbeit Gäste

Diese Struktur bedeutet: Ein kompromittierter Smart-TV kommt nicht ans Arbeitsnetz. Ein Gast mit einem infizierten Laptop bedroht nur sich selbst. Schadsoftware im Arbeitsnetz kann nicht unbemerkt auf IoT-Geräte übergreifen.

Consumer-Switch vs. Managed Switch – der Unterschied, der alles ausmacht

VLANs klingen nach einer guten Idee – und sind auch technisch nicht besonders kompliziert. Warum nutzen sie so wenige?

Der häufigste Grund ist Hardware: Ein Standard-Netzwerkswitch aus dem Elektronikmarkt unterstützt keine VLANs.

Consumer-Switches (Unmanaged Switches)

Ein unmanaged Switch macht genau eine Sache: Er verbindet alle Geräte, die an ihm hängen, miteinander – ohne jede Konfigurationsmöglichkeit. Kein Web-Interface, keine VLANs, keine Portpriorisierung. Plug and Play in seiner ursprünglichsten Form. Das ist für einfache Setups vollkommen ausreichend – aber für Netzwerksegmentierung unbrauchbar.

Diese Geräte kosten oft unter 20 Euro und sind in Haushalten weit verbreitet. Das macht sie nicht schlecht, nur begrenzt.

Managed Switches

Ein managed Switch lässt sich konfigurieren: über ein Web-Interface, eine App oder eine Kommandozeile. Er unterstützt VLANs, kann Ports verschiedenen logischen Netzen zuordnen und ermöglicht eine feingranulare Kontrolle über den Datenverkehr zwischen seinen Ports.

Managed Switches sind teurer – einfache Modelle für Heimanwender und kleine Büros beginnen aber bereits bei 50 bis 80 Euro. Hersteller wie Netgear (Smart Managed Switches der Plus-Linie), TP-Link (TL-SG108E und ähnliche), oder Ubiquiti (UniFi-Linie) bieten Einsteigerlösungen, die für kleine Setups völlig ausreichen.

Wichtig zu wissen: Einen managed Switch richtig zu konfigurieren ist keine Hexerei – aber es ist auch keine Aufgabe, die man ohne Vorbereitung oder Erfahrung mal eben erledigt. Die Konfiguration muss zur Firewall passen, die VLANs müssen korrekt definiert sein, und ein Fehler kann bedeuten, dass plötzlich alle Geräte in derselben Zone landen oder gar kein Zugriff mehr möglich ist.

Die häufigsten Fehler im Umgang mit Firewalls

Selbst wer eine Firewall betreibt, kann sie falsch betreiben. Die häufigsten Fehler in der Praxis:

Ausgehenden Traffic pauschal erlauben. Die Default-Konfiguration vieler Firewalls erlaubt allen ausgehenden Traffic ohne Einschränkung. Das ist bequem – aber verzichtet auf einen erheblichen Schutzmechanismus. Eine sinnvolle Grundregel wäre: Nur bekannte, benötigte ausgehende Verbindungen werden erlaubt. Alles andere wird geloggt und blockiert.

Keine Logs, oder Logs die niemand liest. Eine Firewall erzeugt wertvolle Daten – aber nur, wenn Logging aktiviert ist und jemand hin und wieder hinschaut. Firewall-Logs zeigen Verbindungsversuche, geblockte Pakete, ungewöhnliche Traffic-Muster. Wer seine Logs nie liest, bemerkt Angriffe und Anomalien erst, wenn es zu spät ist.

Veraltete Firmware. Firewalls sind Software – und Software hat Sicherheitslücken. Ein Firewall-System, das seit zwei Jahren kein Update bekommen hat, schützt möglicherweise gegen bekannte Bedrohungen von vor zwei Jahren. Aktuell halten gilt für Firewalls genauso wie für Betriebssysteme und Antivirussoftware.

„Set and forget" – einmal einrichten, nie wieder anfassen. Ein Netz verändert sich: Neue Geräte kommen hinzu, alte werden abgeklemmt, Dienste ändern sich. Firewall-Regeln, die für eine bestimmte Konfiguration erstellt wurden, passen vielleicht nach einem Jahr nicht mehr. Regelmäßige Überprüfung – mindestens einmal jährlich – ist Pflicht.

Zu viele Ausnahmen. Firewall-Regeln werden gelegentlich „schnell mal aufgemacht" – für einen Test, für eine neue Anwendung, für einen Dienst, der plötzlich blockiert wird. Diese temporären Ausnahmen werden selten wieder geschlossen. Mit der Zeit entstehen so Regelsätze mit Dutzenden von Ausnahmen, die niemand mehr überblickt. Jede unnötige Ausnahme ist eine potenzielle Angriffsfläche.

Nur Perimeter-Schutz, keine interne Segmentierung. Viele setzen eine Firewall ans Gateway – zwischen dem eigenen Netz und dem Internet. Das ist wichtig, aber nicht ausreichend. Wer ins Netz gelangt (etwa durch ein kompromittiertes Gerät), findet sich in einem flachen Netz mit direktem Zugriff auf alle anderen Geräte. Interne Segmentierung schränkt den Schaden ein, den ein Angreifer anrichten kann, der es einmal durch das Gateway geschafft hat.

Praktische Empfehlungen für Selbständige

Hier sind drei Szenarien, abgestuft nach Aufwand und Schutzwirkung:

Einstieg: OPNsense auf einem Mini-PC

OPNsense ist eine quelloffene Firewall-Software, die kostenlos verfügbar ist und auf günstiger Mini-PC-Hardware läuft. Anbieter wie Protectli, Topton oder Minisforum verkaufen speziell dafür ausgelegte Geräte mit zwei Netzwerkports – ab etwa 150 bis 200 Euro. Die Fritz!Box bleibt als Modem und WLAN-Zugangspunkt erhalten; OPNsense übernimmt den Firewall-Job.

OPNsense bietet stateful Inspection, ausgehende Regeln, VLAN-Unterstützung, DNS-Filtering über pfBlockerNG und detailliertes Logging. Die Einrichtung erfordert etwas Zeit und Einarbeitungsaufwand – oder einen IT-Dienstleister, der das übernimmt.

Mittleres Setup: Ubiquiti UniFi

Ubiquiti bietet mit der UniFi-Produktlinie ein integriertes Ökosystem aus Router, Access Points und Switches. Die Dream Machine Pro oder die kleineren Dream Router-Modelle kombinieren Firewall, VLAN-Management und WLAN-Controller in einem Gerät. Managed Switches aus der UniFi-Linie ermöglichen saubere Netzwerksegmentierung.

Das System ist deutlich aufwändiger in der Ersteinrichtung als eine Fritz!Box, aber danach über eine zentrale Web-Oberfläche gut verwaltbar. Kosten für ein kleines Setup: ab 300 bis 400 Euro für Router und einen Switch.

Pragmatischer Ansatz: Hol dir Hilfe

Das muss kein IT-Großunternehmen sein. Viele lokale IT-Dienstleister und Systemhäuser richten genau solche Setups für kleine Büros und Selbständige ein – und zwar zu realistischen Preisen. Einmalige Einrichtungskosten von ein paar Hundert Euro (Hardware plus Arbeitszeit) stehen einem deutlich besserem Sicherheitsniveau gegenüber, das danach weitgehend wartungsfrei läuft.

Ein sauberes Netz einzurichten ist handwerkliches IT-Wissen, das viele lokale Dienstleister beherrschen. Es ist keine Raketenwissenschaft – aber es ist auch kein Job für einen Nachmittag ohne Erfahrung. Wer sagt „Das ist mir zu kompliziert", trifft eine völlig vernünftige Entscheidung, wenn die nächste Handlung ist: jemanden fragen, der das kann.

Merksatz: Eine Firewall ist kein einmaliges Produkt, das man kauft und vergisst – sie ist eine Konfiguration, die gepflegt werden will. Mit der richtigen Unterstützung ist das handhabbar.

Checkliste: Firewalls und Netzwerksegmentierung

  • Ich weiß, welchen Firewall-Typ ich betreibe und was er kann – und was nicht.
  • Ausgehender Traffic wird eingeschränkt oder zumindest geloggt.
  • Firewall-Logs sind aktiviert und werden regelmäßig gesichtet.
  • Firmware und Software der Firewall werden regelmäßig aktualisiert.
  • Firewall-Regeln werden mindestens einmal jährlich überprüft und bereinigt.
  • Mein Netz ist in sinnvolle Zonen segmentiert (mindestens: Arbeit, IoT, Gäste).
  • Ich habe einen managed Switch, wenn ich VLANs betreibe – und keinen unmanaged Consumer-Switch.
  • Die Kommunikation zwischen den Zonen ist explizit konfiguriert – nicht alles ist pauschal erlaubt.
  • Ich habe bei Bedarf professionelle Hilfe für die Einrichtung in Anspruch genommen oder plane das.

  1. Diese Funktionalität wird als „Egress Filtering" bezeichnet. Im Heimnetz-Bereich ist sie selten aktiviert, weil Standard-Router sie nicht bieten. In Unternehmensnetzen gehört sie zur Grundkonfiguration. Referenz: NIST SP 800-41 Rev. 1, „Guidelines on Firewalls and Firewall Policy".