|
|
(47 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| =Was ist eine Firewall?=
| | [[Kategorie:Netzwerk/Sicherheit]] |
| | | [[Kategorie:IT-Sicherheit/Tools]] |
| *eine auf einer Softwarekomponente basierendes Sicherungssystem, (oder auch ein Filter)
| |
| *schützt vor unerwünschten Netzwerkzugriffen und beschränkt den Netzwerkzugriff
| |
| *überwacht den laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden
| |
| | |
| =Firewall-Arten=
| |
| | |
| ==Personal Firewall (auch Desktop Firewall)==
| |
| | |
| *eine lokal auf dem Computer installierte Firewall-Software
| |
| *unterbindet ungewollte Zugriffe von außen auf Netzwerkdienste des Computers
| |
| *kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren
| |
| | |
| [[Datei:440px-Anschluss einer Personal Firewall.png]] | |
| | |
| ==Externe Firewall (auch Netzwerk- oder Hardware-Firewall)==
| |
|
| |
| *liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
| |
| *beschränkt die Verbindung zwischen zwei Netzen
| |
| *unterbindet unerlaubte Zugriffe von außen auf das interne System
| |
| *Im Unterschied zur Personal Firewall besteht sie nicht zwangsläufig aus nur einem einzigen Computer(Hardware-Firewall), denn sie kann auch aus einem Verbund mehrerer Computer bestehen
| |
| *in der Praxis gibt es keine Firewalls, die ausschließlich auf Hardware basieren
| |
| *sie kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware
| |
| *enthält immer als wesentlichen Bestandteil eine Software.
| |
| *Der Begriff Hardware-Firewall wird als Synonym für externe Firewalls verwendet (es handelt sich um eine separate Hardware, auf der die Firewall-Software läuft)
| |
| *es gibt Hardware, die für die Verwendung der Firewall-Software optimiert wurde
| |
| | |
| [[Datei:440px-Gateway firewall.svg.png]]
| |
| | |
| =Firewall-Technologien=
| |
| | |
| ==Paketfilter-Firewall==
| |
| | |
| [[Datei:OSI_Packet_Filter.jpg|494×380px|right]] | |
| *Netzwerkpakete anhand ihrer Netzwerkadresse zu sperren oder durchzulassen
| |
| *wertet sie die Header-Informationen der Netzwerkpakete aus
| |
| * OSI-Schicht 3 (IP-Adresse) und 4 (Port)
| |
| | |
| ===Die zustandslose Paketfilterung===
| |
| | |
| *arbeitet auf einem Firewall-Router mit statischen Regeln
| |
| *betrachtet jedes Netzwerkpaket einzeln
| |
| *stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her
| |
| | |
| ===Die zustandsgesteuerten Paketfilterung - Stateful Inspection===
| |
| | |
| [[Datei:stateful_inspection.png|450px|right]]
| |
| *erfasst Beziehungen mit der Technik der Stateful Inspection
| |
| *stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
| |
| *nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
| |
| *OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)
| |
| | |
| ==Application Layer Firewall(Proxy Firewall)==
| |
| *es kann für das selbe Protokoll mehrere dedicated Proxys geben
| |
| *wird als Paketfilter-Firewall klassifiziert
| |
| *eine Software, die auf einem Router installiert ist und die Netzwerkverbindung beschränkt
| |
| *bietet keine genauere Form der Paketfilterung (Stateful Inspection) und keine erweiterte Form der Filterung
| |
| *bei gleicher Hardware verglichen mit anderen Firewall-Arten sehr schnell
| |
| *ist ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt (auch Proxy-Server genannt)
| |
| *verhält sich dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client
| |
| *die Filter beachten zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst typischerweise noch die Nutzdaten (Inhalt der Netzwerkpakete)
| |
| *reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter
| |
| *baut selbst eine eigene Verbindung zum Zielsystem auf
| |
| *kommuniziert stellvertretend für den anfragenden Client mit dem Zielsystem
| |
| *greift in den Datenverkehr ein und terminiert die Verbindungen auf beiden Seiten (zwei eigenständige Verbindungen), anstatt die Netzwerkpakete durch zu reichen
| |
| *für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter (dedicated Proxys)
| |
| | |
| == Hybrid-Firewall==
| |
| * Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
| |
| * Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann.
| |
| === Vorteil ===
| |
| * Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance.
| |
| === Nachteil ===
| |
| * Sicherheitsverlust
| |
| * Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat.
| |
| * Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu
| |
| | |
| | |
| | |
| [[Category:Netzwerke:Firewall]]
| |