Firewall

Aus Mikiwiki
Version vom 6. August 2011, 17:02 Uhr von Michi (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Eine Firewall (dt. "Brandmauer") ist grundsätzlich jedes Gerät, das Aussenstehende (aus einem unsicheren Rechnernetz) davon abhält, Zugang zu einem bestimmten (sicheren) Rechnernetz zu erhalten und damit zur Sicherheit dieses Rechnernetzes beiträgt:

  • ein Router
  • ein unabhängiger Rechner, auf dem Paketfilter oder eine Proxy-Software läuft
  • eine Firewall in einer Box (ein proprietäres Gerät mit Filtern und Proxies)

Eine Hardware-Firewall (auch: externe Firewall, Netzwerk-Firewall) stellt eine kontrollierte Verbindung zwischen zwei logischen Rechnernetzen her. Das könnten beispielsweise ein privates Rechnernetz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzsegmente ein und desselben Rechnernetzes. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Rechnernetz bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.

Von Regelverstössen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen - basierend auf Absender- oder Zieladresse und genutzten Diensten - zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen (z. B. Router oder Proxy); Softwarekomponenten sind deren Betriebssysteme nebst Firewallsoftware, inklusive deren Paketfilter oder Proxyfilter.

Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer Hardware-Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Rechnernetzen vermittelt.

Zu beachten ist insbesondere, dass jede Firewall nur so gut ist, wie die von ihr erzeugte Protokollierung und der Systemverwalter, dem die Protokolldateiauswertung obliegt.

Aufgaben

Moderne Firewalls führen verschiedene Aufgaben durch:

  • Paketfilter und -analyse: Kontrolle der eingehenden Pakete mehrerer Protokolle. Aufgrund dieser Analysen können von Bedingungen abhängige Bewertungen durchgeführt werden.
  • Protokoll- und Inhaltsblockierung: Überprüfung von Inhalten. Möglichkeit der Blockierung von Java, Javascript, Vbsscript, Activex und Cookies. Mit Regeln können bestimmte Angriffssignaturen blockiert werden.
  • Benutzer-, Verbindungs- und Sitzungsauthentifizierung und -verschlüsselung: Anwendung verschiedener Algorithmen und Authentifizierungsschemata (darunter DES, 3DES, SSL, Ipsec, SHA, MD5, Blowfish, IDEA) zur Bestätigung der Benutzeridentität, zur Überprüfung der Integrität einer Sitzung und zum Schutz der übertragenen Daten vor Sniffern.

Je nach Firewall schützt diese das Rechnernetz durch die Kontrolle wer, was, wo es, wann es und wie es hereinkommt. Grundsätzlich gibt es zwei Arten von Firewalls:

  • Netzwerkschicht-Firewalls (Paketfilter): Meist handelt es sich um Router mit Paketfilterfunktionen, die aufgrund verschiedener Variablen (u. a. Ursprungsadresse, Protokoll, Portnummer, Inhalt) Zugang zu einer Seite gewähren oder ablehnen. Dieser Ansatz ist betriebssystem- und anwendungsneutral. Neuere Geräte können auch Spoofing- und DOS-Angriffe abwehren und das interne Rechnernetz für die Aussenwelt unsichtbar machen. Andererseits sind einige Router anfällig für Spoofing-Angriffe. Zudem kann die Routerleistung unter extrem strengen Filterprozessen leiden. Ein Beispiel dafür ist iptables.
  • Anwendungsschicht-Gateways (Application proxy firewall): Diese Firewalls nehmen Verbindungen zwischen aussenstehenden Clients und dem internen Rechnernetz stellvertretend an, d. h. IP-Pakete werden nicht ans interne Rechnernetz weitergeleitet. Stattdessen findet eine Art Übersetzung durch den Gateway statt, wodurch eine umfassendere Kontrolle über die einzelnen Dienste zur Verfügung steht. Andererseits muss für jeden Netzwerkdienst (FTP, HTTP, Telnet usw.) eine Proxy-Anwendung konfiguriert werden und auch interne Benutzer müssen Proxy-Clients benutzen. Ein Beispiel ist das kostenlose Trusted Information Systems (TIS) Firewall Toolkit (FWTK), das Proxies für die Netzwerkdienste Telnet, FTP, rlogin, Sendmail, HTTP und das X Window System beinhaltet.

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen
Wikipedia ger Firewallwbm Enzyklopädischer Artikel