|
|
| (26 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| =Was ist eine Firewall?=
| | [[Kategorie:Netzwerk/Sicherheit]] |
| * Auf Software basierendes Sicherungssystem
| | [[Kategorie:IT-Sicherheit/Tools]] |
| * Ein Paketfilter
| |
| * Schützt vor unerwünschten Netzwerkzugriffen
| |
| * Beschränkt Netzwerkzugriff
| |
| * Überwacht Datenverkehr
| |
| * Entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden
| |
| | |
| =Firewall-Arten=
| |
| | |
| ==Personal Firewall (auch Desktop Firewall)==
| |
| [[Datei:Personal Firewall.jpg]] | |
| | |
| * Auf einem Anwender-Computer installierte Firewall-Software
| |
| * Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
| |
| * Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
| |
| | |
| ==Externe Firewall (auch Netzwerk- oder Hardware-Firewall)==
| |
|
| |
| [[Datei:Externe Firewall.jpg]]
| |
| | |
| *liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
| |
| *beschränkt die Verbindung zwischen zwei Netzen
| |
| *unterbindet unerlaubte Zugriffe von außen auf das interne System
| |
| *Im Unterschied zur Personal Firewall besteht sie nicht zwangsläufig aus nur einem einzigen Computer(Hardware-Firewall), denn sie kann auch aus einem Verbund mehrerer Computer bestehen
| |
| *in der Praxis gibt es keine Firewalls, die ausschließlich auf Hardware basieren
| |
| *sie kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware
| |
| *enthält immer als wesentlichen Bestandteil eine Software.
| |
| *Der Begriff Hardware-Firewall wird als Synonym für externe Firewalls verwendet (es handelt sich um eine separate Hardware, auf der die Firewall-Software läuft)
| |
| *es gibt Hardware, die für die Verwendung der Firewall-Software optimiert wurde
| |
| | |
| =Firewall-Technologien=
| |
| | |
| ==Paketfilter-Firewall==
| |
| | |
| [[Datei:OSI_Packet_Filter.jpg|450px]]
| |
| *Filterung von Datenpaketen anhand der Netzwerkadressen zu sperren oder durchzulassen
| |
| *Filterung des Ports und der IP-Adresse des Quell- und Zielsystems
| |
|
| |
| | |
| ===Die zustandslose Paketfilterung===
| |
| | |
| *arbeitet auf einem Firewall-Router mit statischen Regeln
| |
| *betrachtet jedes Netzwerkpaket einzeln
| |
| *stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her
| |
| *OSI-Schicht 3 (IP-Adresse) und 4 (Port)
| |
| | |
| ===Die zustandsgesteuerten Paketfilterung - Stateful Inspection===
| |
| | |
| [[Datei:stateful_inspection.png|450px]]
| |
| *erfasst Beziehungen mit der Technik der Stateful Inspection
| |
| *stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
| |
| *nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
| |
| *OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)
| |
| | |
| ==Application Layer Firewall(Proxy Firewall)==
| |
| | |
| [[Datei:Applications-Layer-firewalls.jpg|450px]] | |
| | |
| * beachten zusätzlich den Inhalt der Netzwerkpakete: Quelle, Ziel, Dienst und die Nutzdaten
| |
| * baut selbst eine eigene Verbindung zum Zielsystem auf
| |
| * kann die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen
| |
| * reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter
| |
| * kommuniziert stellvertretend für den anfragenden Client mit dem Zielsystem
| |
| * greift in den Datenverkehr ein und terminiert die Verbindungen auf beiden Seiten (zwei eigenständige Verbindungen), anstatt die Netzwerkpakete durch zu reichen
| |
| *für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter (dedicated Proxys)
| |
| | |
| == Hybrid-Firewall==
| |
| * Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
| |
| * Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann.
| |
| === Vorteil ===
| |
| * Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance.
| |
| === Nachteil ===
| |
| * Sicherheitsverlust
| |
| * Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat.
| |
| * Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu
| |
| | |
| =Demilitarized Zone (DMZ)=
| |
| [[Datei:DMZ network diagram 1 firewall.png]]
| |
| | |
| [[Datei:DMZ network diagram 2 firewall.png]]
| |
| *sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
| |
| *Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt.
| |
| *der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
| |
| | |
| =Links=
| |
| https://wiki.itw-berlin.net/index.php?title=Netzwerke:Firewall:Regelwerk
| |
| | |
| =Quellen=
| |
| # https://de.wikipedia.org/wiki/Firewall
| |
| | |
| [[Category:Netzwerke:Firewall]]
| |