|
| |
Komponenten einer Firewall
Ihr Benutzername: Besucher
Wer ist gerade online?
- 10
aktive User.
Erstellt/bearbeitet: 30-Sep-2005/02-Feb-06
Systemzeit: Montag, 01.12.2008, 18:41:35.
Kefk Network : Security : Netzwerksicherheit : Firewall : Komponenten
Ãœbersicht
Eine Firewall besteht aus
verschiedenen Komponenten bzw. Ebenen, auf denen sie ihre
Schutzwirkung entfalten soll.
Paketfilter
Für vergleichsweise einfache Aufgaben wie das Vergleichen von Quell-
und/oder Zieladresse der Pakete, die die Firewall passieren, ist der
Paketfilter zuständig. Er hat die Aufgabe, bestimmte Filterungen oder
Reglementierungen im Datenverkehr vorzunehmen.
Wenn man sich das Internet als eine gigantische Ansammlung von Häusern
vorstellt, dann stellen die IPs sozusagen die Hausnummern dar. Unter einer
bestimmten Internet-»Hausnummer« kann man nun direkt mit einem Rechner
kommunizieren, egal wo sich dieser Rechner befindet. In den einzelnen
»Etagen« dieser vernetzten Rechner wohnen die verschiedenen Dienste wie
HTTP, FTP oder SSH. Die einzelnen Etagen sind mit einer Nummer
gekennzeichnet, die man auch Port nennt.
Ein Paketfilter kann nun verschiedene Ports (»Etagen«) für die Besucher
aus dem Internet sperren, d. h. jede Verbindung aus dem Internet wird
bereits an der »Haustür« abgewiesen. Durch die entsprechende Konfiguration
einer Firewall kann so ein Rechnernetz vor Angriffen und/oder Zugriffen
geschützt werden.
Ein Paketfilter definiert Regeln, welche festlegen, ob einzelne oder
zusammenhängende Pakete das Zugangsschutzsystem passieren dürfen oder
abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle
Pakete, die von der IP-Adresse 1.2.3.4 kommen. Eine solche Regel ist
programmtechnisch einfach zu implementieren: es ist nur ein Zahlenwert zu
vergleichen. In der Praxis ist die Umsetzung jedoch schwieriger, da es
Millionen von IP-Adressen gibt und die »Übeltäter« häufig das »Wohnhaus«,
also ihre IP-Adresse, wechseln.
Für einen wirklichen Schutz ist der Verwaltungsaufwand also zu groß.
Deshalb geht man oft den umgekehrten Weg und stellt folgende Regel auf:
Lasse nur Pakete durch, die von der IP-Adresse 2.3.4.5 kommen. Prinzipiell
ist dies aber auch kein wirklich sicherer Weg, da ein Übeltäter die
Hausnummer ohne größere technische Probleme fälschen kann. Eine sichere
Kommunikation z.B. zwischen Firmennetzen ist nur möglich, wenn Protokolle
verwendet werden, die eine Autorisation und Authentifikation der beteiligten
Benutzer oder Systeme vornehmen. Dies kann beispielsweise mit virtuellen
privaten Netzwerken geschehen.
DSL-Router übernehmen normalerweise die Routing-Funktionalität und können
Zugriffe aus dem Internet auf das lokale Netz blockieren
(Portfilter-Funktionalität). Mit Hilfe von NAT ist es möglich, mehrere
Rechner an einem DSL-Modem zu betreiben. Einen Content-Filter enthalten
solche Produkte zumeist nicht.
Erweiterter Paketfilter: Stateful Inspection
Als Stateful Inspection (»zustandsgesteuerte Filterung«)
bezeichnet man eine Methode zur Erweiterung der Funktion eines Paketfilters.
Die Schwäche eines einfachen Paketfilters besteht darin, dass jedes Paket
einzeln betrachtet wird und nur anhand der Informationen in diesem einen
Datenpaket entschieden wird, ob es gültig ist oder nicht. Stateful
inspection merkt sich dagegen den Status einer Verbindung und kann ein
neues Datenpaket einer bestehenden Verbindung zuordnen. Diese Information
kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem
Proxy wird aber die Verbindung selbst nicht beeinflusst.
Beispiel für die Vorteile von Stateful Inspection:
Kommuniziert ein Rechner A mit einem Rechner B über einen einfachen
Paketfilter, so muss dieser zwei Verbindungen erlauben (NAT und
ähnliches weggelassen):
- Quelle A nach Ziel B
- Quelle B nach Ziel A (für die Antwortpakete)
Das bedeutet, dass beide Rechner die Kommunikation aufnehmen können,
da es keine Möglichkeit gibt zu klären, wer anfangen darf.
Bei Stateful Inspection wird nur eine Regel benötigt (bzw. die zweite
wird implizit hinzugefügt):
Der Paketfilter merkt sich, dass Rechner A mit Rechner B kommuniziert
und erlaubt auch Antworten darauf von Rechner B an Rechner A. Rechner B
kann aber nicht beginnen. Im Normalfall wird auch auf Quell- und
Zielport getestet (diese dürfen sich nicht mehr ändern, damit sie zur
gleichen Verbindung gehören) und somit die Kommunikation auf genau eine
mögliche Kommunikation beschränkt.
Noch weitergehende Systeme prüfen zusätzlich, ob ein Paket zu einem
bestimmten Zeitpunkt in der Kommunikation überhaupt erlaubt ist (zum
Beispiel weitere Pakete schicken, obwohl der andere Teilnehmer die
Kommunikation bereits abgeschlossen hat).
Content-Filter
Eine Firewall kann nicht nur auf der niedrigen Ebene des Paketfilters
arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter
überprüft zum Beispiel die Inhalte der Pakete und nicht nur die Meta-Daten
der Pakete wie Quell- und/oder Zieladresse.
Aufgaben eines Content-Filters können beispielsweise sein:
- Herausfiltern von ActiveX und/oder JavaScript aus angeforderten
HTML-Seiten;
- Filtern/Kennzeichen von Spam-Mails;
- Löschen von Viren-Mails;
- Herausfiltern von vertraulichen Firmeninformationen (z.B.
Firmenbilanz).
Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln
zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist
eventuell technisch nicht vollständig umsetzbar (soll z.B. wirklich sicher
und vollständig vertrauliche Informationen aus dem Datenverkehr zu nicht
autorisierten Systemen herausgefiltert werden, so müsste u.a. das technische
Problem gelöst werden, wie vertrauliche steganographische oder
verschlüsselte Informationen erkannt und gefiltert werden soll.
Trotz der in aktuellen Firewall-Systemen recht einfach gestalteten
Regeln, kann deren Ausführung sehr komplex werden: häufig müssen einzelne
Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z.B.
HTML-Seite) als Ganzes erkannt, durchsucht und eventuell verändert werden
kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt
werden und kann dann weitergeschickt werden.
Üblicherweise ist das Löschen von Viren-Mails die Aufgabe von
Mail-Gateway und/oder Virenscannern. Virenscanner durchsuchen u.a. den
gesamten ausgehenden und eingehenden Datenstrom nach Viren und löschen diese
bei positivem Befund. Typischerweise ist dies nicht Aufgabe einer Firewall.
Entsprechendes gilt für Spam-Mails, für die Spam-Filter zuständig sind.
Proxy
Viele Firewallsysteme besitzen einen oder mehrere integrierte
transparente Proxies, die für Client und Server weitgehend
unbemerkbar sind und von der Firewall automatisch auf entsprechende
Verbindungen angewendet werden.
Aufgabe dieser Proxies ist die (vereinfachte) Realisation der
Protokollvalidierung und Anpassung (i. S. einer Normalisierung oder
definierten Beschränkung) der übertragenen Protokollkommunikation zur
Reduktion der Angriffsfläche auf Applikationsebene oder dem gezielten
Sperren bestimmer Protokolltransaktionen (z.B. gezielte Verhinderung von
Port Mode FTP).
Firewallsysteme unterscheiden sich stark in der Anzahl und Art der von
Proxies unterstützten Protokolle (z.B. FTP, DNS, HTTP, SMTP, SQL*Net, POP3,
MS-RPC usw.) sowie ggf. vorhandenen Konfigurationsmöglichkeiten für diese
Proxies. Ohne Proxy-Konzept sind die Möglichkeiten der
Protokollnormalisierung sehr begrenzt, da ein aktives Eingreifen in den
Datenstrom sich auf Verbindungsabbruch/Blacklisting beschränkt. Viele
Firewalls mit Proxy können darüberhinaus Protokolloptionen anpassen, etwa in
einer SMTP-Transaktion kein BDAT, VRFY o.ä. zulassen.
Application-Level-Firewall
Als Application-Level-Firewall Ist eine Firewall, welche auf der
Applikationsschicht (Layer 7) des ISO-OSI-Modells arbeitet. Eine
Firewall, welche den Inhalt von angeforderten HTML-Seiten vor der
Auslieferung beispielsweise auf Viren überprüft, ist ein Beispiel für eine
Application-Level-Firewall.
Menschliche Komponente
Die Sicherheitsexperten Garfinkel und Spafford warnen vor Bedrohungen
durch die sog. menschliche Komponente und einer Überschätzung der
Schutzwirkung einer Firewall:
»Because firewalls are frequently misused, we are
ambivalent about them. We have too often seen firewalls as a
substitute for real problem fixing. And because many attacks come
from disgruntled or dishonest employees, and not from outsiders,
firewalls divert attention from the real problems of network and
host vulnerabilities, poor planning, and lack of organizational
policies. Thus, firewalls often improve security only a small amount
and, in the process, give their owners a false sense of security.
[...] Thus, a firewall should only be used to gain additional
security that works in conjunction with internal controls-and never
as a replacement for them« (Simson Garfinkel, Gene, Spafford:
Web security & commerce. Sebastopol, CA : O'Reilly 1997. ISBN
1565922697. S. 21).
Literatur
Wolfgang Barth: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb
sicherer Netzwerke mit Linux. Millin-Verl., Poing, 2004, ISBN
3-89990-128-2
William R. Cheswick u.a.: Firewalls and internet security. Repelling
the Wily Hacker'. Addison-Wesley, Boston, Mass., 2003, ISBN
0-201-63466-X
Stefan Strobel: Firewalls und IT-Sicherheit. Grundlagen und Praxis
sicherer Netze. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X
Elizabeth D. Zwicky u.a.: Einrichten von Internet Firewalls.
O'Reilly, Beijing 2001, ISBN
3-89721-169-6
( Bestellen)
Siehe auch
Netmarks
Open Directory: Firewallprodukte,
dmoz.org/Computers/Security/Firewalls/Products (englischsprachig)
de.comp.security.firewall FAQ,
www.iks-jena.de/mitarb/lutz/usenet/Firewall.html.
Quelle und Lizenz
Anmerkungen
| |
 Komponenten |
|
Ihr Name: Besucher (nicht angemeldet).
Online: 10 aktive User.
|
|
Anmelden | Abmelden |
|
|
Benachrichtigen bei Änderungen: |
|
|
|
|
|
Antivirus-Infos: |
|
|
Kefk Network :
Security |
About |
Wiki
