• Start
V-Hub by Vodafone BusinessSecuritySicherheitSPI-Firewalls einfach erklärt
Eine Person, die auf einer Tastatur tippt. Davor ein Dreieckswarnzeichen, das auf einen Datenschutzvorfall hinweist.
Security

SPI-Firewalls einfach erklärt

Portrait von Freca DumreseFreca Dumrese
17.10.2024
8 Min.

    SPI-Firewalls bieten eine fortschrittliche Paketfiltertechnologie. Anders als herkömmliche Firewalls analysieren sie auch den Status einer Datenverbindung, bevor sie Datenpakete entweder weiterleiten oder blocken. Erfahren Sie hier, warum dieser auf den ersten Blick geringe Unterschied einen deutlichen Zuwachs an Sicherheit für Netzwerke bedeutet – und welche Einsatzmöglichkeiten sich daraus für Unternehmen ergeben.

    Die Bedrohungslage im Internet erfordert robuste Lösungen zum Schutz vor ausgeklügelten und ständig neuen Tricks von Cyberkriminellen. In diesem Kontext spielt Stateful Packet Inspection (SPI) eine zentrale Rolle in heutigen digitalen Sicherheitsstrategien. SPI-Firewalls bewerten den Netzwerkverkehr dahingehend, ob Datenpakete zu einer vertrauenswürdigen Verbindung gehören oder nicht.

    Inhaltsverzeichnis

    Was ist eine SPI-Firewall?Wie funktioniert eine SPI-Firewall?Die wichtigsten Merkmale von SPI-FirewallsSPI-Firewalls – was sind die Vorteile?Das Wichtigste zu SPI-Firewalls in Kürze

    Was ist eine SPI-Firewall?

    „SPI“ steht für „Stateful Packet Inspection“, zu Deutsch „zustandsorientierte Überprüfung von Datenpaketen“. Im Gegensatz zu statischen oder auch zustandslosen Filtertechniken (Static Packet Filtering, kurz: SPF) inspizieren SPI-Firewalls die Datenpakete nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse sowie dem Quell-/Zielport. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
    SPI-Firewalls werden auch als Stateful Firewalls bezeichnet – in Abgrenzung zu den Stateless Firewalls (zustandslose Firewalls) und anderen Arten von Firewalls.
    Um die Vorteile der Stateful Packet Inspection besser zu verstehen, ist es hilfreich, einen Blick auf die Funktionen und die Entwicklung von Firewalls im Allgemeinen zu werfen. Firewalls gibt es schon seit den Anfängen des Internets. Sie haben die Aufgabe, unerwünschten Datenverkehr zu stoppen – wie eine „Brandmauer“. Ohne Firewall sollte heutzutage kein Unternehmen online gehen.
    Betriebssysteme von Computern verfügen meist bereits über eine (persönliche) Firewall. Sie legt anhand vordefinierter Kriterien fest, wann ein Datenpaket für das empfangende Netzwerk als schädlich gilt. Router sind ebenfalls mit einer integrierten Firewall ausgestattet, die den eingehenden Datenverkehr überwacht und kontrolliert, ob er vertrauenswürdig ist.
    Je komplexer die Systeme sind, desto notwendiger ist der Schutz durch eine Netzwerk-Firewall. Die zunehmende Vernetzung im Internet of Things (IoT) führt auch zu komplexeren Firewall-Konfigurationen.
    Zustandslose Firewalls können nur anhand der Header eines Datenpakets bestimmen, ob ein eingehendes Paket durchgelassen werden kann oder nicht. Einer solchen statischen Firewall (Stateless Firewall) fehlt die Möglichkeit, festzustellen, ob ein Datenpaket auch im Kontext der aktiven Verbindung gültig ist.
    Daraus entstehen Risiken wie Cyberangriffe durch Distributed-Denial-of-Service (DDoS)-Mechanismen. Im Zuge eines Distributed-Denial-of-Service-Angriffs wird eine Anfrage mit einer gefälschten Quell-IP-Adresse an einen legitimen Dienst auf dem Zielsystem versandt. Wenn dieser Dienst antwortet, können Cyberkriminelle eine Webadresse mit unerwünschtem eingehenden Datenverkehr „spammen“, weil der Inhalt des Datenpakets aus Sicht der Firewall legitim erscheint und nicht gegen deren Regeln verstößt.
    Stateful Firewalls gehen deswegen einen Schritt weiter. Eine SPI-Firewall verfolgt alle Datenpakete im Netzwerk. Sie überprüft, ob ein Datenpaket zu einer aktiven Sitzung gehört, die nach einem vertrauenswürdigen sogenannten TCP-Handshake aufgebaut wurde. Die SPI-Firewall untersucht außerdem nicht nur das Datenpaket, sondern den gesamten Datenfluss. Sind nicht alle Bedingungen erfüllt, verwirft sie ein Datenpaket. Stateful Firewalls erkennen so auch böswillige oder unbefugte Aktivitäten, die in einem legitimen Datenstrom vorkommen können. Auf diese Weise blocken sie selbst raffinierte Malware und Spyware.
    Das Prinzip der Stateful Packet Inspection entstand in den 1990er-Jahren und wurde ursprünglich von dem börsennotierten US-amerikanischen Unternehmen Check Point Software Technologies entwickelt. Seither hat sich die Leistungsfähigkeit von SPI kontinuierlich weiterentwickelt.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Mehr zu Lookout

    Wie funktioniert eine SPI-Firewall?

    Netzwerkverkehr im Internet bewegt sich üblicherweise in kleinen Blöcken, den sogenannten Datenpaketen.
    Jedes Datenpaket enthält die IP-Adressen des Absender- und des Empfänger-Computers. Klassische Firewalls lassen Datenpakete passieren, wenn diese von einer als sicher geltenden Quelle kommen, beispielsweise von einem akzeptierten Port (z. B. Port 21). Bedenkliche Daten, die über einen vermeintlich ungefährlichen Port kommen, werden jedoch meist nicht erkannt.
    Hacker:innen nutzen dies aus, indem sie Datenpakete abfangen und die darin vermerkten IP-Adressen gezielt angreifen. Es gibt sogar Websites im Internet, die ausschließlich dazu dienen, die IP-Adressen von Besucher:innen abzugreifen, um diese später angreifen zu können.
    Die Lösung: SPI-Firewalls analysieren IP-Adressen und prüfen den aktuellen Status der Netzwerkverbindung. Sie verfügen über einen Speicher und halten die Informationen der Stateful Packet Inspection in einer Tabelle fest. Dies erfolgt in der Schicht 3 (Netzwerk/Vermittlungsschicht) des OSI-Modells für den Internetdatenverkehr (siehe Grafik unten).
    Darüber hinaus arbeitet die SPI-Firewall auch auf der Schicht 4 (Transportschicht), indem sie Protokolle wie TCP und UDP untersucht. Sie prüft z. B., ob ein TCP-Handschlag (Three-Way-Handshake) korrekt durchgeführt wurde, bevor sie Datenpakete erlaubt oder ablehnt. Eine Stateful Inspection Firewall kann außerdem feststellen, ob das jeweils nächste Datenpaket Teil einer Serie ist.
    Grafische Darstellung der übereinander angeordneten sieben Schichten des ISO/OSI-Schichtenmodells mit der Anwendungsschicht als oberster bis hin zur Bitübertragungsschicht als unterster Ebene.
    In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
    Die Stateful Packet Inspection ist nicht zu verwechseln mit der Deep Packet Inspection (DPI), die sogenannte Next Generation Firewalls kennzeichnet. Diese analysieren die Nutzlast von Datenpaketen, Protokollen und Anwendungen bis auf den höchsten OSI-Layer (Anwendungsschicht). DPI erfordert aufgrund der hohen Komplexität der Analysen auch eine besonders hohe Rechenleistung.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Die wichtigsten Merkmale von SPI-Firewalls

    Stateful Inspection Firewalls behalten alle Verbindungen im Netzwerk fortlaufend im Blick und erstellen ein Protokoll mit allen bislang getroffenen Entscheidungen zum Verbindungsaufbau.
    Bei künftigen Entscheidungen zum Filtern von Datenpaketen greift die Firewall auf die Informationen in diesem Protokoll zu. So kann sie leichter entscheiden, ob es sich um erwünschten oder unerwünschten Traffic handelt.
    Das ist wichtig, weil ohne die Kenntnis des Verbindungsstatus zwischen zwei Parteien nicht ersichtlich ist, ob die Gegenstelle bestimmte Datenpakete tatsächlich angefordert hat. Sonst könnte es passieren, dass Pakete versendet werden, ohne dass eine aktive bzw. gültige Sitzung zwischen beiden Parteien besteht.
    Mittels der Stateful Packet Inspection merkt sich die SPI-Firewall, ob eine Verbindung aktiv ist oder nicht – und blockiert Datenpakete, für die zuvor keine Kommunikation oder Anforderung stattgefunden hat.

    SPI-Firewalls – was sind die Vorteile?

    Je mehr Datenverkehr Sie im Unternehmen und insbesondere nach und von außen managen müssen, desto mehr Bedrohungen müssen Ihre Tools erkennen. In diesen Fällen eignet sich die Stateful Inspection Firewall, da sie deutlich mehr Sicherheitsfunktionen bietet als normale Firewalls. Außerdem vereinfacht sie das Einstellen komplexer Regeln für die Firewall.
    Stateless Firewalls sind eher in kleinen Unternehmen, im Homeoffice oder im privaten Bereich im Einsatz. Wenn der Datenverkehr gering oder das Budget begrenzt ist, kann dies sinnvoll sein – auch weil das Erstellen von Regeln für Firewalls dann überschaubar ist. Aufgrund ihrer eingeschränkten Fähigkeiten eignen sich Stateless Firewalls für Betriebe jedoch nur in Fällen, bei denen z. B. ein Datenverlust, ein Systemausfall oder eine Erpressung keine gravierenden Folgen hätte.
    Die Vorteile auf einen Blick:
    • Mehr Sicherheit: Stateful Firewalls bieten einen umfassenderen Schutz vor fortgeschrittenen Bedrohungen als herkömmliche (Stateless) Firewalls. Denn sie untersuchen den Zustand jeder aktiven Verbindung über das Internet und den Kontext von Datenpaketen.
    • Dynamische Regelanwendung: SPI-Firewalls können Regeln basierend auf dem Verbindungszustand dynamisch anwenden. Sie lassen Antwortpakete nur zu, wenn sie zu einer als vertrauenswürdig eingestuften Verbindung gehören.
    • Gute Performance: Dank ihrer intelligenten und präzisen Arbeitsweise bei der Paketfilterung haben SPI-Firewalls weniger Auswirkungen auf die Netzwerkleistung und eine bessere Performance als Stateless Firewalls.
    • Weniger Fehlalarme: SPI-Firewalls verfolgen den gesamten Datenfluss zwischen zwei Geräten. Das reduziert die Wahrscheinlichkeit einer Verwechslung von legitimen und bösartigen Aktivitäten. Voraussetzung dafür ist es, die SPI-Firewall stets aktuell zu halten und korrekt zu konfigurieren.
    Wichtiger Hinweis: Die Implementierung und die Administration von SPI-Technologien erfordern Fachwissen. Der Verwaltungsaufwand ist im Vergleich zu Stateless Firewalls etwas höher. In der Regel überwiegen die Vorteile in Bezug auf Sicherheit und Effizienz deutlich die Kosten und den administrativen Aufwand.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Das kann der Microsoft Defender

    Das Wichtigste zu SPI-Firewalls in Kürze

    • Stateful Inspection Firewalls, kurz SPI-Firewalls, gehen über statische Paketfiltertechniken hinaus. Sie analysieren Datenpakete auf Basis von Header-Informationen, Ports und Verbindungsstatus.
    • SPI-Firewalls legen Protokolle für die Datenübertragung an, speichern diese und können Regeln – basierend auf einem Verbindungszustand – dynamisch anwenden.
    • SPI-Firewalls sind in der Lage, auch fortschrittliche Cyberangriffe zu erkennen und abzuwehren.
    • Im Vergleich zu zustandslosen Firewalls erhöhen die zustandsorientierten SPI-Firewalls die Netzwerksicherheit von Unternehmen erheblich.
    Portrait von Freca DumreseFreca Dumrese
    17.10.2024
      # Tags:SicherheitTippsCloudInnovation
      Das könnte Sie auch interessieren:
      Security

      SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

      Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren