Firewalls

Vorbemerkung:

Zum Schutz von privaten Netzen (intranets) ist heute die Abschottung durch eine Firewall unerläßlich. Hierbei gibt es verschiedene Techniken und Implementierungsverfahren, die hier kurz erläutert bzw. diskutiert werden sollen.

Firewall-Techniken (Filterverfahren)

Man unterscheidet zwischen:

Paketfiltern
Application Level Firewalls
Stateful Inspection

Für den Einsatz auf einem direkt ans Internet angeschlossenen PC gibt es außerdem noch die Desktop Firewalls, die auf einer eigenen Seite besprochen werden.

Paketfilter

Paketfilter stellen die einfachste Variante einer Firewall dar. Hierbei wird immer der sog. Header der einzelnen Protokolle (IP-Header, ICMP-Header, TCP-Header, UDP-Header) überprüft und in Abhängigkeit der eingestellten Filter-Regeln verarbeitet. Man unterscheidet hierbei drei Varianten:

allow	Paket wird durchgelassen
deny/ drop	Paket wird verworfen (Sender bekommt einen "Time Out" bzw. keine Meldung)
reject	Paket wird zurückgewiesen (Sender bekommt eine Fehlermeldung)

Vorteile:

gute Performance, aufgrund der vergleichsweise geringen Funktionalität
einfache Konfigurierbarkeit bei wenig komplexen Problemstellungen

Nachteile:

Missbrauch von Protokollen nicht erkennbar (z.B. Fragmentation-Attack, bei der der TCP-Header auf das erste und zweite Paket aufgeteilt wird)
Ausnutzung von Schwachstellen (Buffer Overflow, WinNuke)
nur eingeschränkte Möglichkeiten zur Protokollierung
keine Content-Filterung (z.B. Active-X, Cookies, FTP-PUT)
unübersichtlich bei großer Anzahl von Filterregeln (Fehlerquelle!)

Application Level Firewalls (ALF)/ Proxy-Server

Das Application Level Firewall wird in den Datenstrom zwischen Client und Server geschaltet und "spielt" in Richtung Client den Server und stellt gegenüber dem Server den Client da. Für jeden TCP-Dienst wird daher ein eigenes Programm (der sog. Proxy) benötigt!

Vorteile:

ein Proxy arbeitet systembedingt richtungsabhängig
eine Fehlfunktion des Proxy stellt weitestgehend keine Sicherheitslücke dar, sondern unterbindet im Zweifelsfall die Kommunikation
aufgrund der Arbeitsweise wird auch die IP-Adresse des vor diesem Proxy liegenden Netzes nicht sichbar

Nachteile:

aufgrund der Bearbeitung auf OSI-Layer 7 geringere Performance
nicht für alle Firewalls und Applikationen gibt es Proxies (Abhilfe ggf. "Generic Proxy")

Stateful Inspection

Diese von Checkpoint eingeführet Filtertechnik (Informationen gibt's als Checkpoint Produktbeschreibung bzw. in den Checkpoint Tech Notes) ist in der Lage, sich die aktuellen Status- und Kontextinformationen zu merken bzw. diese bei der Filterung zu berücksichtigen. Auf diese Weise kann - obwohl die Firewall überwiegend auf Layer 3 bzw. 4 arbeitet - z.B. die Fragmentierungs-Attacke abgewendet oder ein manipulierter Verbindungsaufbau/ Rückantwort erkannt werden. Stateful Inspection Firewalls stellen daher ein Zwischending zwischen reinen Filtern und Application Level Firewalls dar, die weitestgehend die Vorteile beider dieser beiden Techniken miteinander kombinieren.

Aufbau eines (sicheren) Firewall-Systems

Bei geringen Anforderungen reicht es, vor das zu schützende Netzwerk (Intranet) einen einzigen Firewall-Rechner zu stellen. Bei mittleren bis hohen Anforderungen sollten Sie sich jedoch für ein zweistufiges System entscheiden. Hier sind zwei Firewalls (eine äußere und eine innere Firewall) über eine sog. demilitarisierte Zone (DMZ) - manchmal auch Grenznetz genannt - miteinander verbunden.
Auf diese Weise ist das Intranet noch geschützt, selbst, wenn die äußere Firewall kompromittiert worden sein sollte. Außerdem können in dieser DMZ Rechner/ Server aufgestellt werden, die einer ausgewählten Öffentlichkeit (z.B. Kunden) zugänglich gemacht werden sollen, ohne dass diese gleich Zugriff auf das gesamte interne Netzwerk benötigen.

Personal Firewalls/ Desktop Firewalls

Die sog. Personal Firewalls (auch Desktop Firewalls genannt) laufen, wie der Name schon sagt, auf dem PC selbst. Aufgrund des Umfanges dieses Themas wurde ihm eine eigene Seite gewidmet.

Ein verwandtes Thema ist auch der Einsatz von Proxy-Servern, wie z.B. Wingate.

Sollten Sie weitere Fragen zu diesem Thema haben, dann posten Sie diese bitte in meinem Forum, senden mir eine E-Mail oder - am besten - besuchen mich auf einer meiner Schulungen.

(Diese Seite wurde erstellt am 22.08.2000,
der letzte Update fand statt am 01.07.2004)