|
Firewalls
Vorbemerkung: Heute erfordert der Schutz von privaten Netzwerken (Intranets) eine Firewall. Es gibt verschiedene Techniken und Implementierungsverfahren, die hier kurz erläutert werden.
Firewall-Techniken (Filtermethode) Sie unterscheiden zwischen:
- Paketfilter
- Anwendungsebene Firewalls
- Stateful Inspection
Für den Einsatz auf einem direkt mit dem Internet verbundenen PC gibt es auch die Desktop Firewalls.
Paketfilter sind die einfachste Variante einer Firewall. Der sogenannte Header der einzelnen Protokolle (IP-Header, ICMP (The Internet Control Message Protocol is a supporting protocol in the Internet protocol suite) header, TCP-Header (The Transmission Control Protocol is one of the main protocols of the Internet protocol suite), UDP (In electronic communication, the User Datagram Protocol is one of the core members of the Internet protocol suite) header) wird immer in Abhängigkeit von den eingestellten Filterregeln geprüft und verarbeitet. Es gibt drei Varianten:
allow< |
Paket wird übergeben |
deny< |
Packet wird verworfen
|
reject< |
Paket wird abgelehnt |
Vorteile:
- gute Leistung, aufgrund der vergleichsweise geringen Funktionalität
- einfache Konfigurierbarkeit für weniger komplexe Probleme
Nachteile:
- Mi
ssbrauch von nicht erkennbaren Protokollen (z.B. Fragmentierungsangriff, bei dem der TCP-Header auf das erste und zweite Paket aufgeteilt wird)
- Verwendung von Schwachstellen (Buffer Overflow (In der Computersicherheit und Programmierung ist ein Pufferüberlauf oder Pufferüberlauf eine Anomalie, bei der ein Programm beim Schreiben von Daten in einen Puffer die Puffergrenze überschreitet und benachbarte Speicherplätze überschreibt), WinNuke (Der Begriff WinNuke bezieht sich auf einen entfernten Denial-of-Service-Angriff, der Microsoft Windows 95, Microsoft Windows NT und Microsoft Windows 3 betrifft.1x Computer-Betriebssysteme) )
- nur eingeschränkte Protokollierungsmöglichkeiten
- keine Inhaltsfilterung (z.B. Active-X, Cookies, FTP (Das File Transfer Protocol ist ein Standard-Netzwerkprotokoll für die Übertragung von Computerdateien von einem Server zu einem Client unter Verwendung des Client-Server-Modells in einem Computernetzwerk)
- überladen mit vielen Filterregeln (Fehlerquelle!)
Anwendungsebene Firewalls (ALF)/ Proxy-Server (In Computernetzwerken ist ein Proxy-Server ein Server, der als Vermittler für Anfragen von Clients dient, die Ressourcen von anderen Servern suchen)
Die Application Level Firewall (Eine Application Firewall ist eine Form der Firewall, die Eingang, Ausgang und/oder Zugriff von, zu oder durch eine Anwendung oder einen Dienst steuert) ist mit dem Datenstrom zwischen Client und Server verbunden und “spielt” den Server in Richtung Client und stellt den Client dem Server gegenüber. Daher wird für jeden TCP-Dienst ein eigenes Programm (der sogenannte Proxy) benötigt!
Vorteile:
- ein Proxy arbeitet systemabhängig
- eine Fehlfunktion des Proxy stellt keine Sicherheitslücke dar, sondern verhindert die Kommunikation im Zweifelsfall <
- die IP-Adresse (Eine IP-Adresse ist eine Kennung, die jedem Computer und jedem anderen Gerät zugewiesen wird, das mit einem TCP/IP-Netzwerk verbunden ist, das zur Lokalisierung und Identifizierung des Knotens in der Kommunikation mit anderen Knoten im Netzwerk verwendet wird) des Netzwerks vor diesem Proxy ist ebenfalls nicht sichtbar
Nachteile:
- geringere Leistung </o aufgrund der Verarbeitung auf OSI-Schicht 7 (Eine Anwendungsschicht ist eine Abstraktionsschicht, die die von Hosts in einem Kommunikationsnetzwerk verwendeten gemeinsamen Protokolle und Schnittstellenmethoden spezifiziert)
- Proxies sind nicht für alle Firewalls und Anwendungen verfügbar (Workaround falls nötig. “Generic Proxy”) : Stateful Inspection (Eine Stateful-Firewall ist eine Netzwerk-Firewall, die den Betriebszustand und die Eigenschaften von Netzwerkverbindungen, die sie durchlaufen, verfolgt)
Diese von Checkpoint eingeführte Filtertechnologie ist in der Lage, den aktuellen Status und Kontextinformationen zu speichern oder bei der Filterung zu berücksichtigen. So kann z.B. der Fragmentierungsangriff abgewendet oder ein manipulierter Verbindungsaufbau erkannt werden. Firewalls sind daher ein Zwischenprodukt zwischen reinen Filtern und Firewalls auf Anwendungsebene, die die Vorteile beider Techniken weitgehend vereinen.
Struktur eines (sicheren) Firewall-Systems
Für geringe Anforderungen genügt es, einen einzelnen Firewall-Rechner vor das zu schützende Netzwerk (Intranet) zu stellen. Bei mittleren bis hohen Anforderungen sollten Sie sich jedoch für ein zweistufiges System entscheiden. Hier sind zwei Firewalls (eine äußere und eine innere Firewall) über eine sogenannte entmilitarisierte Zone verbunden (DMZ (In der Computersicherheit ist eine DMZ oder entmilitarisierte Zone ein physisches oder logisches Subnetz, das die externen Dienste einer Organisation enthält und einem nicht vertrauenswürdigen Netzwerk, meist einem größeren Netzwerk wie dem Internet, aussetzt) ). Auf diese Weise ist das Intranet immer noch geschützt, auch wenn die externe Firewall (im Computerbereich ist eine Firewall ein Netzwerksicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr auf der Grundlage vorgegebener Sicherheitsregeln überwacht und steuert) gefährdet ist. Zusätzlich können in dieser DMZ Rechner/Server eingerichtet werden, die einer ausgewählten Öffentlichkeit (z.B. Kunden) zugänglich gemacht werden sollen, ohne dass ein sofortiger Zugriff auf das gesamte interne Netzwerk erforderlich ist.
Personal Firewalls/ Desktop Firewalls
Die sogenannten Personal Firewalls (auch Desktop Firewalls genannt) laufen, wie der Name schon sagt, auf dem PC selbst.