Firewall
aus Wikipedia, der freien Enzyklopädie
Als Firewall [[font=Arial Unicode MS,Lucida Sans Unicode,MS Mincho,Arial,sans-serif]ˈfaɪəwɔːl[/font]] oder Zugangsschutzsystem bezeichnet man bei Rechnernetzwerken ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege.
Durch den immer größer werdenden Ausbau von Netzen wird der Schutz einzelner Netze immer wichtiger. Firewalls greifen hier ein; sie sitzen an den Schnittstellen zwischen einzelnen Netzen und kontrollieren den Netzwerkverkehr zwischen den Netzen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr weiterzuleiten.
Der häufige Einsatz einer Firewall besteht darin, den Verkehr zwischen einem lokalen Netzwerk und dem Internet zu kontrollieren und zu steuern. Ein komplexes Szenario stellt die DMZ dar.
Rund um das Thema Firewall existieren viele Begriffe, die teilweise richtig sind, aber manchmal nur die halbe Wahrheit vermitteln. Umgangssprachlich ist mit einer Firewall sehr oft die Software gemeint, welche den Datenverkehr zwischen den getrennten Netzbereichen kontrolliert und regelt. Man muss also zwischen dem (Sicherheits-)Konzept Firewall, und den zwei Hauptbestandteilen der Firewall, nämlich Hardware und Software, unterscheiden. Die Hardware ist für das Empfangen und Senden der einzelnen Netzwerkpakete zuständig und die Software regelt den Verkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?)
Inhaltsverzeichnis // [AnzeigenVerbergen] 1 Hardware
2 Software
2.1 Paketfilter
2.2 Content-Filter / Application-Level-Gateway
2.3 Proxy
2.4 SOCKS
2.5 NAT / Network Address Translation / Circuit Relay Firewall
2.6 Router-Funktionalitäten
3 Beispiel
4 DSL-Modems/DSL-Router
5 Personal Firewalls
6 Siehe auch
7 Literatur
8 Weblinks
[Bearbeiten]
Hardware
Die Hardwarekomponente hat im Regelfall zwei Netzwerkschnittstellen, an denen jeweils die zu trennenden Netzwerke angeschlossen sind. Die zwei Schnittstellen werden aus Sicherheitsgründen (oft aber wegen der Netzwerkstruktur und damit aus der konzeptionellen Notwendigkeit) gewählt, damit gewährleistet ist, dass nur solche Pakete von einem Netz ins andere durchgelassen werden, die von der Software als gültig anerkannt werden.
[Bearbeiten]
Software
Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI-Referenzmodells und demzufolge kann das Implementationsniveau sehr unterschiedlich ausfallen. Deswegen besteht eine Firewall oft aus verschiedenen Softwarekomponenten. Die verschiedenen Teile sollen hier kurz beschrieben werden:
[Bearbeiten]
Paketfilter
Für solch einfache Aufgaben wie das Vergleichen von Quell- und/oder Zieladresse der Pakete, die die Firewall passieren, ist der Paketfilter zuständig. Er hat die Aufgabe, bestimmte Filterungen oder Reglementierungen im Netzwerkverkehr vorzunehmen. Wenn man sich das Internet als eine gigantische Ansammlung von Häusern vorstellt, dann stellen die IPs sozusagen die Hausnummern dar. (Straßennamen sind in der Welt des Internets unbekannt.) Unter einer bestimmten Hausnummer kann man nun direkt mit einem Rechner kommunizieren, egal wo sich dieser Rechner befindet. In den einzelnen Etagen dieser Rechner wohnen nun die verschiedenen Dienste wie HTTP, FTP oder SSH. Die einzelnen Etagen sind mit einer Nummer gekennzeichnet, die man auch Port nennt. Ein Paketfilter kann nun verschiedene Etagen/Ports für die Besucher aus dem Internet sperren, d. h. jede Verbindung aus dem Internet wird an der Haustüre schon abgewiesen. Durch die entsprechende Konfiguration einer Firewall kann so ein Computernetzwerk vor Angriffen und/oder Zugriffen geschützt werden. Ein Paketfilter definiert Regeln, welche festlegen, ob einzelne oder zusammenhängende Pakete das Zugangsschutzsystem passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle Pakete, die von der IP-Adresse 1.2.3.4 kommen. Eine solche Regel ist programmtechnisch einfach: es ist nur ein Zahlenwert zu vergleichen.
[Bearbeiten]
Content-Filter / Application-Level-Gateway
Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die Inhalte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können zum Beispiel folgende sein:
- Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten.
- Filtern/Kennzeichen von Spam-Mails
- Löschen von Viren-Mails
Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist aber sehr komplex: hierfür müssen einzelne Pakete zusammengesetzt werden, damit die HTML-Seite als Ganzes erkannt, durchsucht und verändert werden kann. Anschließend muss die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden.
[Bearbeiten]
Proxy
Ein Proxy ist ein Stellvertreter, der Anfragen (im Normalfall sind dies Anforderungen von HTML-Seiten, oder aber auch FTP Verbindungen) entgegennimmt und diese Anfrage weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Client wie ein Server. Gegenüber dem eigentlichen Ziel, z. B. dem Web-Server, verhält er sich wie ein Client. Dies geschieht nicht auf der Paketebene, sondern es wird in diese Pakete hineingeschaut und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil bei dieser Methode ist, dass keine Pakete die Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert.
[Bearbeiten]
SOCKS
Ein Socks-(Secure Sockets)Server wird in einem Netzwerk dazu verwendet, Anwendungen und Protokolle zu bedienen, die von dem Proxy nicht unterstützt oder von der Firewall geblockt werden. Funktionsweise: Die Socks-Software hört als Server auf dem Port 1080. Eine Clientanwendung kann, wenn sie 'socksifiziert' ist, einen Tunnel zu dem Socks-Server aufbauen und die Daten durch diesen Tunnel an den Server schicken. Der Server packt das 'Socks-Paket' aus und schickt die Anfrage 1-zu-1 weiter ins Internet - und die entsprechende Antwort wieder zurück an den Client.
[Bearbeiten]
NAT / Network Address Translation / Circuit Relay Firewall
Das NAT stellt oft auch einen Bestandteil einer Firewall dar. Es wird besonders dann benötigt, wenn nur eine oder wenige öffentliche IPs zur Verfügung stehen.
[Bearbeiten]
Router-Funktionalitäten
Damit die Pakete von der einen Seite der Firewall auch auf die andere Seite weitergeleitet werden können, muss die Firewall Router-Funktionaliäten besitzen.
[Bearbeiten]
Beispiel
Ein einfaches Konzept soll diese trockene Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr möchte man nur die Verbindungen zu einem Mail-Server aufbauen. Damit auch eine Recherche im Internet möglich ist, soll ein PC über einen Proxy Zugriff zu Webseiten erhalten. Weiterhin steht der Firma nur eine öffentliche IP zur Verfügung, so dass NAT genutzt werden muss. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen rausgefiltert werden.
Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden.
[DLMURL="http://de.wikipedia.org/wiki/Bild:Konz…er_Firewall.png"]
[/DLMURL]
[Bearbeiten]
DSL-Modems/DSL-Router
DSL-Router übernehmen normalerweise die Routing-Funktionalität und können Zugriffe aus dem Internet auf das LAN blockieren (Portfilter-Funktionalität). Mit Hilfe von NAT ist es möglich mehrere Rechner an einem DSL-Modem zu betreiben. Einen Content-Filter enthalten solche Produkte zumeist nicht.
[Bearbeiten]
Personal Firewalls
Personal Firewalls oder auch Desktop Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Sie beinhalten einen Paketfilter und einen Content-Filter. Darüber hinaus sind oft noch Virenscanner für den normalen Betrieb vorhanden.
Die Wirkung von Personal Firewalls ist allerdings umstritten: Ist der Rechner ordentlich konfiguriert und laufen nur vertrauenswürdige Programme, so wird das System selbst nur sinnvolle Pakete annehmen und verschicken. Läuft dagegen zweifelhafte Software auf dem Rechner, die unautorisiert auf das Netz zugreifen will, so wird diese auch so weit gehen, den normalen Weg des Versands zu verlassen und die Personal Firewall zu umgehen oder auszuschalten. So sind schon Viren in freier Wildbahn entdeckt worden, die die Regeln der gängigen Firewalls modifizieren, damit Sie ihre eigentliche Aufgabe durchführen können.
[Bearbeiten]
Siehe auch
- Computersicherheit
- DMZ
- Paketfilter
- Router
- Intrusion Detection System
- Proxy
- Application_Gateway
- Smoothwall
[Bearbeiten]
Literatur
- Zwicky, Cooper, Chapman, Einrichten von Internet Firewalls, O'Reilly 2001, ISBN 3897211696
- W. R. Cheswick, S. M. Bellovin, A. D. Rubin, Firewalls and Internet Security - Repelling the Wily Hacker, 2nd Edition, Addison-Wesley 2003, ISBN 0-201-63466-X
- Wolfgang Barth Das Firewall Buch, Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux (iptables), SuSE Press, ISBN 3-934678-40-8
- [1] (http://www.amazon.de/exec/obidos/re…ms/-/389864152X) Stefan Strobel Firewalls und IT-Sicherheit, Dieses Buch gibt einen umfassenden Überblick über praktische IT-Sicherheit in Unternehmen., Dpunkt Verlag, ISBN 389864152X
[Bearbeiten]
Weblinks
- de.comp.security.firewall FAQ (de.comp.security.firewall FAQ)
- Netfilter - Paketfilter innerhalb des Linux Kernel (http://www.netfilter.org)
- Die Eindiskettenfirewall (http://www.fli4l.de) ist neben der CD-Variante [DLMURL="http://www.gibraltar.at/"]Gibraltar[/DLMURL] ([DLMURL]http://www.gibraltar.at/[/DLMURL]) ein Projekt, das im Sinne einer [DLMURL="http://de.wikipedia.org/wiki/Nachhaltigkeit_%28EDV%29"]nachhaltigen Nutzung[/DLMURL] die Verwendung von alten PCs als Firewall gestattet.
- m0n0wall (m0n0wall) eine BSD basierende Firewall die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
- [2] ([2]) Ein verständlich formuliertes Tutorial über die Firewall innerhalb eines kompletten Virenschutz.
Dieser Artikel ist Teil des WikiReader Internet. Dies bedeutet, dass der Artikel regelmäßig überprüft und zusammen mit anderen Artikeln in ein PDF eingearbeitet wird. Es existiert auch eine gedruckte Ausgabe.