Firewall: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: Eine <b>Firewall</b> (dt. "Brandmauer") ist grundsätzlich jedes Gerät, das Aussenstehende davon abhält, Zugang zu einem bestimmten Rechnernetz zu erhalten und da...)
 
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
* eine Firewall in einer Box (ein proprietäres Gerät mit Filtern und Proxies)
* eine Firewall in einer Box (ein proprietäres Gerät mit Filtern und Proxies)


Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei logischen Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.
Eine <b>Hardware-Firewall</b> (auch: externe Firewall, Netzwerk-Firewall) stellt eine kontrollierte Verbindung zwischen zwei logischen Rechnernetzen her. Das könnten beispielsweise ein privates Rechnernetz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzsegmente ein und desselben Rechnernetzes. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Rechnernetz bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.


Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen basierend auf Absender- oder Zieladresse und genutzten Diensten zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.
Von Regelverstössen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen - basierend auf Absender- oder Zieladresse und genutzten Diensten - zu erlauben. Für das Aufspüren von Angriffen sind so genannte [[IDS]]-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.


Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen, wie Router oder Proxy; Softwarekomponenten sind deren Betriebssysteme nebst Firewallsoftware, inklusive deren Paket- oder Proxyfilter.
Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit [[Netzwerkschnittstelle]]n (z. B. Router oder Proxy); Softwarekomponenten sind deren [[Betriebssystem]]e nebst Firewallsoftware, inklusive deren [[Paketfilter]] oder [[Proxyfilter]].


Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer externen Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Netzen vermittelt. Siehe auch Personal Firewall, Abschnitt „Abgrenzung zur Firewall“.
Die entscheidende Abgrenzung zur [[Personal Firewall]] ist, dass die Software einer Hardware-Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Rechnernetzen vermittelt.


== Aufgaben ==


Moderne Firewalls führen verschiedene Aufgaben durch:
* <b>Paketfilter und -analyse:</b> Kontrolle der eingehenden Pakete mehrerer Protokolle. Aufgrund dieser Analysen können von Bedingungen abhängige Bewertungen durchgeführt werden.
* <b>Protokoll- und Inhaltsblockierung:</b> Überprüfung von Inhalten. Möglichkeit der Blockierung von [[Java]], [[Javascript]], [[Vbsscript]], [[Activex]] und [[Cookie]]s. Mit Regeln können bestimmte Angriffssignaturen blockiert werden.
* <b>Benutzer-, Verbindungs- und Sitzungsauthentifizierung und -verschlüsselung:</b> Anwendung verschiedener Algorithmen und Authentifizierungsschemata (darunter [[DES]], [[3DES]], [[SSL]], [[Ipsec]], [[SHA]], [[MD5]], [[Blowfish]], [[IDEA]]) zur Bestätigung der Benutzeridentität, zur Überprüfung der Integrität einer Sitzung und zum Schutz der übertragenen Daten vor [[Sniffer]]n.


Je nach Firewall schützt diese das Rechnernetz durch die Kontrolle wer, was, wo es, wann es und wie es hereinkommt. Grundsätzlich gibt es zwei Arten von Firewalls:
#
*<b>Netzwerkschicht-Firewalls (Paketfilter):</b> Meist handelt es sich um [[Router]] mit Paketfilterfunktionen, die aufgrund verschiedener Variablen (u. a. Ursprungsadresse, Protokoll, Portnummer, Inhalt) Zugang zu einer Seite gewähren oder ablehnen. Dieser Ansatz ist betriebssystem- und anwendungsneutral. Neuere Geräte können auch [[Spoofing]]- und [[DOS]]-Angriffe abwehren und das interne Rechnernetz für die Aussenwelt unsichtbar machen. Andererseits sind einige Router anfällig für Spoofing-Angriffe. Zudem kann die Routerleistung unter extrem strengen Filterprozessen leiden.
* <b>Anwendungsschicht-Gateways (Application proxy firewall):</b> Diese Firewalls nehmen Verbindungen zwischen aussenstehenden Clients und dem internen REchnernetz stellvertretend an, d. h. IP-Pakete werden nicht ans interne Rechnernetz weitergeleitet. Stattdessen findet eine Art Übersetzung durch den Gateway statt, wodurch eine umfassendere Kontrolle über die einzelnen Dienste zur Verfügung steht. Andererseits muss für jeden Netzwerkdienst (FTP, HTTP, Telnet usw.) eine Proxy-Anwendung konfiguriert werden und auch interne Benutzer müssen Proxy-Clients benutzen. Ein Beispiel ist das kostenlose [http://www.fwtk.org/ Trusted Information Systems (TIS) Firewall Toolkit (FWTK)], das Proxies für die Dienste Telnet, FTP, rlogin, Sendmail, HTTP und das X Window System beinhaltet.


== Weblinks ==


{{dewi|Firewall|Firewall}}




 
{{cat|Firewall}}
Moderne Firewalls führen verschiedene Aufgaben durch:
{{cat|Rechnernetz}}
* <b>Paketfilter und -analyse:</b> Kontrolle der eingehenden Pakete mehrerer Protokolle. Aufgrund dieser Analysen können von Bedingungen abhängige Bewertungen durchgeführt werden.
{{cat|Sicherheit}}
* <b>Protokoll- und Inhaltsblockierung:</b> Überprüfung von Inhalten. Möglichkeit der Blockierung von [[Java]], [[JavaScript]], [[VBScript]], [[ActiveX]] und [[Cookie]]s. Mit Regeln können bestimmte Angriffssignaturen blockiert werden.
{{cat|UNFERTIG}}
* <b>Benutzer-, Verbindungs- und Sitzungsauthentifizierung und -verschlüsselung:</b> Anwendung verschiedener Algorithmen und Authentifizierungsschemata (darunter [[DES]], [[3DES]], [[SSL]], [[IPsec]], [[SHA]], [[MD5]], [[Blowfish]], [[IDEA]]) zur Bestätigung der Benutzeridentität, zur Überprüfung der Integrität einer Sitzung und zum Schutz der übertragenen Daten vor [[Sniffer]]n.
 
Je nach Firewall schützt diese das Netzwerk durch die Kontrolle wer, was, wo es, wann es und wie es hereinkommt. Grundsätzlich gibt es zwei Arten von Firewalls:
# <b>Netzwerkschicht-Firewalls (Paketfilter):</b> Meist handelt es sich um [[Router]] mit Paketfilterfunktionen, die aufgrund verschiedener Variablen (u. a. Ursprungsadresse, Protokoll, Portnummer, Inhalt) Zugang zu einer Seite gewähren oder ablehnen. Dieser Ansatz ist betriebssystem- und anwendungsneutral. Neuere Geräte können auch [[Spoofing]]- und [[DoS]]-Angriffe abwehren und das interne Netzwerk für die Aussenwelt unsichtbar machen. Andererseits sind einige Router anfällig für Spoofing-Angriffe. Zudem kann die Routerleistung unter extrem strengen Filterprozessen leiden.
# <b>Anwendungsschicht-Gateways (Application proxy firewall):</b> Diese Firewalls nehmen Verbindungen zwischen aussenstehenden Clients und dem internen Netzwerk stellvertretend an, d. h. IP-Pakete werden nicht ans interne Netzwerk weitergeleitet. Stattdessen findet eine Art Übersetzung durch den Gateway statt, wodurch eine umfassendere Kontrolle über die einzelnen Dienste zur Verfügung steht. Andererseits muss für jeden Netzwerkdienst (FTP, telnet, HTTP usw.) eine Proxy-Anwendung konfiguriert werden und auch interne Benutzer müssen Proxy-Clients benutzen. Ein Beispiel ist das kostenlose [http://www.fwtk.org/ Trusted Information Systems (TIS) Firewall Toolkit (FWTK)], das Proxies für die Dienste telnet, FTP, rlogin, Sendmail, HTTP und X Window beinhaltet.
 
== Weblinks ==

Version vom 29. Januar 2009, 14:36 Uhr

Eine Firewall (dt. "Brandmauer") ist grundsätzlich jedes Gerät, das Aussenstehende davon abhält, Zugang zu einem bestimmten Rechnernetz zu erhalten und damit zur Sicherheit dieses Rechnernetzes beiträgt:

  • ein Router
  • ein unabhängiger Rechner, auf dem Paketfilter oder eine Proxy-Software läuft
  • eine Firewall in einer Box (ein proprietäres Gerät mit Filtern und Proxies)

Eine Hardware-Firewall (auch: externe Firewall, Netzwerk-Firewall) stellt eine kontrollierte Verbindung zwischen zwei logischen Rechnernetzen her. Das könnten beispielsweise ein privates Rechnernetz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzsegmente ein und desselben Rechnernetzes. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Rechnernetz bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.

Von Regelverstössen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen - basierend auf Absender- oder Zieladresse und genutzten Diensten - zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.

Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen (z. B. Router oder Proxy); Softwarekomponenten sind deren Betriebssysteme nebst Firewallsoftware, inklusive deren Paketfilter oder Proxyfilter.

Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer Hardware-Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Rechnernetzen vermittelt.

Aufgaben

Moderne Firewalls führen verschiedene Aufgaben durch:

  • Paketfilter und -analyse: Kontrolle der eingehenden Pakete mehrerer Protokolle. Aufgrund dieser Analysen können von Bedingungen abhängige Bewertungen durchgeführt werden.
  • Protokoll- und Inhaltsblockierung: Überprüfung von Inhalten. Möglichkeit der Blockierung von Java, Javascript, Vbsscript, Activex und Cookies. Mit Regeln können bestimmte Angriffssignaturen blockiert werden.
  • Benutzer-, Verbindungs- und Sitzungsauthentifizierung und -verschlüsselung: Anwendung verschiedener Algorithmen und Authentifizierungsschemata (darunter DES, 3DES, SSL, Ipsec, SHA, MD5, Blowfish, IDEA) zur Bestätigung der Benutzeridentität, zur Überprüfung der Integrität einer Sitzung und zum Schutz der übertragenen Daten vor Sniffern.

Je nach Firewall schützt diese das Rechnernetz durch die Kontrolle wer, was, wo es, wann es und wie es hereinkommt. Grundsätzlich gibt es zwei Arten von Firewalls:

  • Netzwerkschicht-Firewalls (Paketfilter): Meist handelt es sich um Router mit Paketfilterfunktionen, die aufgrund verschiedener Variablen (u. a. Ursprungsadresse, Protokoll, Portnummer, Inhalt) Zugang zu einer Seite gewähren oder ablehnen. Dieser Ansatz ist betriebssystem- und anwendungsneutral. Neuere Geräte können auch Spoofing- und DOS-Angriffe abwehren und das interne Rechnernetz für die Aussenwelt unsichtbar machen. Andererseits sind einige Router anfällig für Spoofing-Angriffe. Zudem kann die Routerleistung unter extrem strengen Filterprozessen leiden.
  • Anwendungsschicht-Gateways (Application proxy firewall): Diese Firewalls nehmen Verbindungen zwischen aussenstehenden Clients und dem internen REchnernetz stellvertretend an, d. h. IP-Pakete werden nicht ans interne Rechnernetz weitergeleitet. Stattdessen findet eine Art Übersetzung durch den Gateway statt, wodurch eine umfassendere Kontrolle über die einzelnen Dienste zur Verfügung steht. Andererseits muss für jeden Netzwerkdienst (FTP, HTTP, Telnet usw.) eine Proxy-Anwendung konfiguriert werden und auch interne Benutzer müssen Proxy-Clients benutzen. Ein Beispiel ist das kostenlose Trusted Information Systems (TIS) Firewall Toolkit (FWTK), das Proxies für die Dienste Telnet, FTP, rlogin, Sendmail, HTTP und das X Window System beinhaltet.

Weblinks

Vorlage:dewi