Firewall
Eine Firewall (dt. "Brandmauer") ist grundsätzlich jedes Gerät, das Aussenstehende davon abhält, Zugang zu einem bestimmten Rechnernetz zu erhalten und damit zur Sicherheit dieses Rechnernetzes beiträgt:
- ein Router
- ein unabhängiger Rechner, auf dem Paketfilter oder eine Proxy-Software läuft
- eine Firewall in einer Box (ein proprietäres Gerät mit Filtern und Proxies)
Eine externe (Netzwerk- oder Hardware-) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei logischen Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist aber auch eine Verbindung unterschiedlicher Netzwerksegmente ein und desselben Netzwerks. Die Firewall überwacht den durch sie hindurch laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden, oder nicht. Auf diese Weise versucht die Firewall das private Netzwerk bzw. das Netzsegment vor unerlaubten Zugriffen zu schützen.
Von Regelverstößen einmal abgesehen, besteht die Funktion einer Firewall nicht darin, Angriffe zu erkennen und zu verhindern. Sie besteht lediglich darin, nur bestimmte Kommunikationsbeziehungen – basierend auf Absender- oder Zieladresse und genutzten Diensten – zu erlauben. Für das Aufspüren von Angriffen sind so genannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können. Sie gehören jedoch nicht zum Firewallmodul.
Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Geräte mit Netzwerkschnittstellen, wie Router oder Proxy; Softwarekomponenten sind deren Betriebssysteme nebst Firewallsoftware, inklusive deren Paket- oder Proxyfilter.
Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Software einer externen Firewall nicht auf dem zu schützenden System selber arbeitet, sondern auf einem separaten Gerät läuft, welches im Datenverkehr zwischen den Netzen vermittelt. Siehe auch Personal Firewall, Abschnitt „Abgrenzung zur Firewall“.
Moderne Firewalls führen verschiedene Aufgaben durch:
- Paketfilter und -analyse: Kontrolle der eingehenden Pakete mehrerer Protokolle. Aufgrund dieser Analysen können von Bedingungen abhängige Bewertungen durchgeführt werden.
- Protokoll- und Inhaltsblockierung: Überprüfung von Inhalten. Möglichkeit der Blockierung von Java, JavaScript, VBScript, ActiveX und Cookies. Mit Regeln können bestimmte Angriffssignaturen blockiert werden.
- Benutzer-, Verbindungs- und Sitzungsauthentifizierung und -verschlüsselung: Anwendung verschiedener Algorithmen und Authentifizierungsschemata (darunter DES, 3DES, SSL, IPsec, SHA, MD5, Blowfish, IDEA) zur Bestätigung der Benutzeridentität, zur Überprüfung der Integrität einer Sitzung und zum Schutz der übertragenen Daten vor Sniffern.
Je nach Firewall schützt diese das Netzwerk durch die Kontrolle wer, was, wo es, wann es und wie es hereinkommt. Grundsätzlich gibt es zwei Arten von Firewalls:
- Netzwerkschicht-Firewalls (Paketfilter): Meist handelt es sich um Router mit Paketfilterfunktionen, die aufgrund verschiedener Variablen (u. a. Ursprungsadresse, Protokoll, Portnummer, Inhalt) Zugang zu einer Seite gewähren oder ablehnen. Dieser Ansatz ist betriebssystem- und anwendungsneutral. Neuere Geräte können auch Spoofing- und DoS-Angriffe abwehren und das interne Netzwerk für die Aussenwelt unsichtbar machen. Andererseits sind einige Router anfällig für Spoofing-Angriffe. Zudem kann die Routerleistung unter extrem strengen Filterprozessen leiden.
- Anwendungsschicht-Gateways (Application proxy firewall): Diese Firewalls nehmen Verbindungen zwischen aussenstehenden Clients und dem internen Netzwerk stellvertretend an, d. h. IP-Pakete werden nicht ans interne Netzwerk weitergeleitet. Stattdessen findet eine Art Übersetzung durch den Gateway statt, wodurch eine umfassendere Kontrolle über die einzelnen Dienste zur Verfügung steht. Andererseits muss für jeden Netzwerkdienst (FTP, telnet, HTTP usw.) eine Proxy-Anwendung konfiguriert werden und auch interne Benutzer müssen Proxy-Clients benutzen. Ein Beispiel ist das kostenlose Trusted Information Systems (TIS) Firewall Toolkit (FWTK), das Proxies für die Dienste telnet, FTP, rlogin, Sendmail, HTTP und X Window beinhaltet.