Firewalls

Vorbemerkung:

Zum Schutz von privaten Netzen (Intranets) ist heute die Abschottung durch eine (Standalone) Firewall unerläßlich. Hierbei gibt es verschiedene Techniken und Implementierungsverfahren, die hier kurz erläutert bzw. diskutiert werden sollen.
 

Firewall-Techniken (Filterverfahren)

Man unterscheidet zwischen: Für den Einsatz auf einem direkt ans Internet angeschlossenen PC gibt es außerdem noch die Desktop Firewalls, die auf einer eigenen Seite besprochen werden.

Paketfilter

Paketfilter (auch Portfilter) stellen die einfachste Variante einer Firewall dar. Hierbei wird immer der Header der einzelnen Protokolle (IP-Header, ICMP-Header, TCP-Header, UDP-Header) überprüft und in Abhängigkeit der eingestellten Filter-Regeln verarbeitet. Man unterscheidet hierbei drei Varianten:
allow Paket wird durchgelassen
deny/ drop Paket wird verworfen
(Sender bekommt einen "Time Out" bzw. keine Meldung)
reject Paket wird zurückgewiesen
(Sender bekommt eine Fehlermeldung)

 
Vorteile:

Nachteile:

Application Level Firewalls (ALF)/ Proxy-Server

Das Application Level Firewall wird in den Datenstrom zwischen Client und Server geschaltet und "spielt" in Richtung Client den Server und stellt gegenüber dem Server den Client da. Für jeden TCP-Dienst wird daher ein eigenes Programm (der sog. Proxy) benötigt!

Vorteile:

Nachteile:

Stateful Inspection

Diese von Checkpoint eingeführte Filtertechnik (Informationen gibt's als Checkpoint Produktbeschreibung bzw. in den Checkpoint Tech Notes) ist in der Lage, sich die aktuellen Status- und Kontextinformationen zu merken bzw. diese bei der Filterung zu berücksichtigen. Auf diese Weise kann - obwohl die Firewall überwiegend auf Layer 3 bzw. 4 arbeitet - z.B. die Fragmentierungs-Attacke abgewendet oder ein manipulierter Verbindungsaufbau/ Rückantwort erkannt werden. Stateful Inspection Firewalls stellen damit ein Zwischending zwischen reinen Filtern und Application Level Firewalls dar, die weitestgehend die Vorteile beider dieser beiden Techniken miteinander kombinieren. SPI- (Staful Packet Inspection) Firewalls sind heute die am meisten verwendete Gruppe/ Technik von Firewalls und haben sogar Einzug auf (billigen) DSL-Routern gehalten.

Aufbau eines (sicheren) Firewall-Systems

Bei geringen Anforderungen reicht es, vor das zu schützende Netzwerk (Intranet) einen einzigen Firewall-Rechner zu stellen. Bei mittleren bis hohen Anforderungen sollten Sie sich jedoch für ein zweistufiges System entscheiden. Hier sind zwei Firewalls (eine äußere und eine innere Firewall) über eine sog. demilitarisierte Zone (DMZ) - manchmal auch Grenznetz genannt - miteinander verbunden.
Auf diese Weise ist das Intranet noch geschützt, selbst, wenn die äußere Firewall kompromittiert worden sein sollte. Außerdem können in dieser DMZ Rechner/ Server aufgestellt werden, die einer ausgewählten Öffentlichkeit (z.B. Kunden) zugänglich gemacht werden sollen, ohne dass diese gleich Zugriff auf das gesamte interne Netzwerk benötigen.

Zusätzlich empfiehlt es sich, über die Implementierung eines Intrusion Detection Systems (IDS) bzw. Intrusion Prevention System (IPS) nachzudenken!

 

Personal Firewalls/ Desktop Firewalls

Die sog. Personal Firewalls (auch Desktop Firewalls genannt) laufen, wie der Name schon sagt, auf dem PC selbst. Aufgrund des Umfanges dieses Themas wurde ihm eine eigene Seite gewidmet.
 
Ein verwandtes Thema ist auch der Einsatz von Proxy-Servern, wie z.B. Wingate.

Sollten Sie weitere Fragen zu diesem Thema haben, dann posten Sie diese bitte in meinem Forum, senden mir eine E-Mail oder - am besten - besuchen mich auf einer meiner Schulungen.
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen!
Homepage [zurück zur Security-Seite]

(Diese Seite wurde erstellt am 22.08.2000,
der letzte Update fand statt am 31.3.2009)
Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg