Kefk Network :  Security |  About  |  Wiki Changelog | Index | Inhalt | Site Map | Suchen.
安
å…¨		   Angriffe | Computersicherheit | Forensik | Grundlagen | Labor | Malware | Netzwerksicherheit | Physikalische Sicherheit | Praxis | Prozesse | Ressourcen | Sicherheitskonzept | Sicherheitsrichtlinien | Tools | Verschlüsselung | Zertifizierungen | Ziele.

 

Firewall

Ihr Benutzername: Besucher
Wer ist gerade online? - 1 aktive User.

Erstellt/bearbeitet: 30-Sep-2005/02-Feb-06
Systemzeit: Mittwoch, 20.08.2008, 12:10:36.

Kefk Network : Security : Netzwerksicherheit : Firewall

Ãœbersicht

Als Firewall (»Brandschutzmauer«) bezeichnet man eine Software- und/oder Hardwarelösung, die ein Computernetzwerk oder einen einzelnen Computer vor unerwünschten Zugriffen aus einem unsicheren Netzwerk schützen soll. Professionelle Firewalls werden beispielsweise im Rahmen umfangreicher Sicherheitskonzepte für die Absicherung von Unternehmensnetzwerken eingesetzt.

Grundsätzlich muß jede Firewall individuell an das jeweils zu schützende Umfeld angepasst werden; ein fertiges Produkt oder eine sofort funktionsfähige »Black Box« kann es somit nicht geben. Neben der einmaligen Grundkonfiguration der Firewall an das jeweilige Netzwerk muss das Schutzsystem kontinuierlich überwacht, aktualisiert und modifiziert werden; der Betrieb einer Firewall ist also ein Prozess, der als Firewalling bezeichnet wird.

Ansatz

Firewalls sitzen an den Schnittstellen zwischen einzelnen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr passieren zu lassen. Der häufigste Einsatz einer Firewall besteht darin, den Verkehr zwischen einem lokalen Netz (LAN) und dem Internet zu kontrollieren. Ein komplexes Szenario stellt eine mehrstufige Firewall mit einer »demilitarisierten Zone« (Demilitarized Zone, DMZ) dar.

Prinzipiell besitzt dementsprechend eine Firewall zwei wesentliche Aufgaben:

  • Unterbinden von ungewolltem Datenverkehr von externen Computersystemen zum geschützten Bereich
  • Unterbinden von ungewolltem Datenverkehr vom geschützten Bereich zu externen Systemen

Rund um das Thema Firewall existieren viele Begriffe, die teilweise richtig sind, aber sehr oft nur die halbe Wahrheit vermitteln. Umgangssprachlich ist mit einer Firewall häufig die Software gemeint, welche den Datenverkehr zwischen den getrennten Bereichen kontrolliert und regelt. Man muss also zwischen dem Sicherheitskonzept Firewall und der konkreten Implementierung der Firewall unterscheiden.

  • Das Sicherheitskonzept beschreibt Regeln, welche Informationen die Firewall passieren dürfen und welche nicht.
  • Implementiert wird das Konzept durch eine Software, die auf einer (oftmals speziellen) Hardware läuft. Die Hardware ist dabei für das Empfangen und Senden der einzelnen Datenpakete zuständig (und somit eigentlich kein sicherndes Element) und die Software regelt den Datenverkehr (Was wird durchgelassen? Was wird nicht durchgelassen?) Dabei ist die Hardware häufig wie bei anderen Netzelementen (Routern oder Gateways) auch für die Aufgabenstellung optimiert (schnelle Prüfung von Paketen, hochperformantes Empfangen und Senden von Paketen, etc.).

Software- und Hardware-Firewalls

Umgangssprachlich wird häufig von Hardware- oder Software-Firewalls gesprochen. Bei dieser Unterscheidung handelt es sich in erster Linie um eine nicht-technische Definition. Die Unterscheidung von Hard- und Softwarefirewall ist technisch gesehen unsinnig. Zu jeder Firewall gehört Software, die auf einer Hardware ausgeführt wird.

Fälschlicherweise werden dedizierte Router, auf denen die Firewallsoftware ausgeführt wird, häufig irreführend als Hardware-Firewall bezeichnet. Personal Firewall werden dagegen oft als Software-Firewall bezeichnet, die aber werden auf dem PC ausgeführt. Sie benötigen also den PC als Hardware.

Hardware-Firewall

Üblicherweise wird ein Gerät als Hardware-Firewall genannt, wenn es sich um ein spezifisches Produkt für genau diesen Zweck handelt. Es ist ein Gerät mit mehreren Netzwerk-Schnittstellen und einer darauf laufenden Software, welche hauptsächlich als Firewall dient.

Die Hardwarekomponente hat im Regelfall drei Netzwerkschnittstellen, an denen jeweils die zu trennenden Netze angeschlossen sind. Die drei Schnittstellen werden aus Sicherheitsgründen (oft aber wegen der Netzstruktur und damit aus der konzeptionellen Notwendigkeit) gewählt, damit gewährleistet ist, dass nur solche Pakete von einem Netz ins andere durchgelassen werden, die von der Software als gültig anerkannt werden.

Dabei unterscheidet man drei Netzwerkzonen:

  • Das externe Netz (WAN), heutzutage häufig das Internet
  • Die sogenannte demilitarisierte Zone (DMZ), in der vom externen Netz aus erreichbare Server beherbergt sind
  • Das interne Netz (LAN)

Oftmals handelt es sich bei einer Hardware-Firewall jedoch um eine Software-Firewall die mit spezieller Hardware gebundelt wird.

Software-Firewall

Handelt es sich bei der Hardware, auf welcher die Firewall-Software läuft, nicht um ein spezifisches Gerät, sondern um beispielsweise einen PC mit einem Standard-Betriebssystem wie GNU/Linux, einem BSD-Derivat, Microsoft Windows oder Sun Solaris, so wird eher Bezug darauf genommen, dass die Software speziell ist und nennt es dann Software-Firewall. So werden zum Beispiel Personal Firewalls als Software-Firewall bezeichnet, weil sie typischerweise auf dem auch für andere Zwecke eingesetzten PC laufen.

Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI-Referenzmodells und demzufolge kann das Implementationsniveau sehr unterschiedlich ausfallen. Deswegen besteht eine Firewall oft aus verschiedenen Softwarekomponenten.

Komponenten einer Firewall

Eine Firewall besteht aus verschiedenen Komponenten bzw. Ebenen, auf denen sie ihre Schutzwirkung entfalten soll. Dazu zählen vor allem

  • der Paketfilter,
  • der erweiterter Paketfilter: Stateful Inspection,
  • der Content-Filter,
  • der Proxy sowie
  • die Application-Level-Firewall.

Siehe hierzu ausführlich: Komponenten einer Firewall.

Beispielimplementation

Eine einfache Beispielimplementation verdeutlicht die Arbeitsweise einer Firwall.

Aufgabenstellung: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Virengefahr möchte man nur die Verbindungen zu einem Mail-Server aufbauen. Damit auch eine Recherche im Internet möglich ist, soll ein PC über einen Proxy Zugriff zu Webseiten erhalten. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird. Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden.

Abbildung: Konzeptioneller Aufbau einer Firewall.

Produkte

Astaro Security Linux eine kommerzielle Linux-Firewall.

Smoothwall eine kommerzielle Linux-Firewall.

Netfilter - Paketfilter innerhalb des Linux Kernel

Die Eindiskettenfirewall fli4l ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.

IPCop ist eine einfach zu bedienende Linux-Distribution, die zum Ziel hat, eine durch und durch sichere Firewall zu sein.

M0n0wall ist eine BSD basierende Firewall, die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.

mGuard eine Hardware-Firewall zur Absicherung einzelner Server der Firma Innominate

Menschliche Komponente

Die Sicherheitsexperten Garfinkel und Spafford warnen vor Bedrohungen durch die sog. menschliche Komponente und einer Überschätzung der Schutzwirkung einer Firewall:

»Because firewalls are frequently misused, we are ambivalent about them. We have too often seen firewalls as a substitute for real problem fixing. And because many attacks come from disgruntled or dishonest employees, and not from outsiders, firewalls divert attention from the real problems of network and host vulnerabilities, poor planning, and lack of organizational policies. Thus, firewalls often improve security only a small amount and, in the process, give their owners a false sense of security. [...] Thus, a firewall should only be used to gain additional security that works in conjunction with internal controls-and never as a replacement for them« (Simson Garfinkel, Gene, Spafford: Web security & commerce. Sebastopol, CA : O'Reilly 1997. ISBN 1565922697. S. 21).

Weiterführende Informationen

Literatur

Wolfgang Barth: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux. Millin-Verl., Poing, 2004, ISBN 3-89990-128-2

William R. Cheswick u.a.: Firewalls and internet security. Repelling the Wily Hacker'. Addison-Wesley, Boston, Mass., 2003, ISBN 0-201-63466-X

Stefan Strobel: Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X

Elizabeth D. Zwicky u.a.: Einrichten von Internet Firewalls. O'Reilly, Beijing 2001, ISBN 3-89721-169-6

(Bestellen)

Siehe auch

Netmarks

Open Directory: Firewallprodukte,
dmoz.org/Computers/Security/Firewalls/Products (englischsprachig)

de.comp.security.firewall FAQ,
www.iks-jena.de/mitarb/lutz/usenet/Firewall.html.

Quelle und Lizenz

Textquellennachweise:
Ein Teil dieses Textes basiert auf einem Artikel aus Wikipedia, der freien Enzyklopädie.
Artikel | Bearbeiten | Diskutieren | Drucken | Versionen | Autoren | Backlinks.
Stand: 23:09, 26. Sep 2005 (Permalink).
Lizenz: GNU Free Documentation License.
Bildquellennachweise:
  • Promotionmaterial © Amazon.de.
  • Aufbau einer Firewall, Quelle: de.wikipedia.org; Lizenz: Public Domain.

Anmerkungen

Forum: Hardware für Linux (Anmerkungen in diesem Forum: 16)

Neue Anmerkung verfassen
Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren
Blättern: << Anfang | < Zurück | Weiter > | Ende >>
DaferDaferSep 26, 16:31
LerLerSep 26, 16:31
DaferDaferSep 26, 16:30
DaferDaferSep 26, 16:30
FitralFitralSep 26, 16:12
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
LerLerSep 26, 16:11
DaferDaferSep 26, 16:11
Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.
Firewall
Nach oben
Anbieter
Desktop Firewall
Forensik
Komponenten
Systeme
Topologie
Wer ist online?:
Ihr Name: Besucher (nicht angemeldet).
Online: 1 aktive User.
Anmelden | Abmelden
Monitoring:
Benachrichtigen bei Änderungen:


blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Amazon.de:
blind_150.gif (1x1 -- 825 bytes)
Praxisbuch Sicherheit für Linux-Server und -Netze.
von Barbara Oberhaitzinger, Helmar Gerloni u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 34,90
(versandkostenfrei)
Das Firewall Buch.
Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux.
von Wolfgang Barth

EUR 44,90
(versandkostenfrei)
Firewalls und Sicherheit im Internet.
von William R. Cheswick, Steven M. Bellovin u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Security. Das Grundlagenbuch.
von Mathias Hein, Michael Reisner u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Microsoft Windows Sicherheit.
Das Praxisbuch.
von Tobias Weltner und Kai Wilke

amazon_small.gif (55x15 -- 576 bytes)EUR 49,90
(versandkostenfrei)
Suchen in:
Suchen nach:
Antivirus-Infos:

blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Kefk Network:
blind_150.gif (1x1 -- 825 bytes)
Thematisch verwandte Subsites: BSD, GNU/Linux, Hardware, Internet, Networking, Safety, Webworking, Windows.

Kefk Network Home
blind_150.gif (150x5 -- 825 bytes)
Hacker Emblem glider.png (55x55 -- 724 bytes)

 

URL: http://www.kefk.net/Security/Netzwerksicherheit/Firewall/index.asp.
Translate this page with Google to 
Website | Changelog | Index | Inhalt | Site Map | Suchen | Wer ist online?.
Ergänzungen, Fragen und Kommentare: Kontakt | Foren | Wiki.
E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//".
Alle Inhalte dieser Subsite sind, sofern nicht anders gekennzeichnet, © 2003-2005 Agon S. Buchholz.
Copyright | Credits | Disclaimer | Impressum.