|
|
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| Eine Firewall ist eine Software oder Firmware, die den unbefugten Zugriff auf ein Netzwerk verhindert.
| | [[Kategorie:Netzwerk/Sicherheit]] |
| | | [[Kategorie:IT-Sicherheit/Tools]] |
| = Historie =
| |
| | |
| * Benennung wird Steven M. Bellovin von AT&T zugeschrieben
| |
| * Der Begriff ‘‘‘Firewall‘‘‘ für das Filtern unerwünschten Netzwerkverkehrs wurde erstmals um 1987 verwendet
| |
| * Name ist eine Metapher, die Firewalls mit Trennwänden vergleicht, um zu verhindern, daß ein Feuer auf ein anderes Gebäude übergreifen kann
| |
| * Bilden seit über 25 Jahren die erste Verteidigungslinie beim Schutz von Netzwerken
| |
| | |
| = Was ist eine Firewall? =
| |
| | |
| Eine Firewall:
| |
| * ist eine Netzwerksicherheitsvorrichtung, die eingehenden und ausgehenden Netzwerkverkehr überwacht
| |
| * fungiert als Barriere zwischen geschützten & kontrollierten Bereichen und externen Netzwerken, wie dem Internet
| |
| * entscheidet auf der Grundlage von Regeln, ob ein bestimmter Datenverkehr blockiert oder zugelassen wird
| |
| * kann als dedizierte Hardware oder als Softwarekomponente ausgeführt sein
| |
| * bietet Schutz für einzelne Rechner, Server oder ganze IT-Umgebungen
| |
| * kann eingesetzt werden, um das interne Netz zu strukturieren und verschiedene Sicherheitszonen zu schaffen
| |
| * kann den Netzwerksverkehr und die Firewall-Aktivitäten protokollieren (Beweissicherung & Verbesserung der Regelsätze)
| |
| * bietet die Möglichkeit interne Strukturen eines Netzwerks zu verbergen (NAT)
| |
| | |
| = Firewall-Typen =
| |
| | |
| == Personal Firewall (auch Desktop Firewall) ==
| |
| [[Datei:Personal Firewall.jpg]] | |
| | |
| * Auf einem Anwender-Computer installierte Firewall-Software
| |
| * Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
| |
| * Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
| |
| | |
| * prädestiniert für den privaten Gebrauch - kostengünstig und können auch von unerfahrenen Benutzern konfiguriert werden
| |
| | |
| | |
| == Externe Firewall (auch Netzwerk- oder Hardware-Firewall) ==
| |
|
| |
| [[Datei:Externe Firewall.jpg]]
| |
| | |
| * Kombination aus Hardware- & Software-Komponenten
| |
| * eigenständiges Gerät, das verschiedene Netze miteinander verbindet
| |
| * wesentlich komplexer als Personal-Firewalls
| |
| * geringere Manipulationsgefahr, da die Software nicht auf dem zu schützenden System läuft
| |
| | |
| *liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
| |
| *beschränkt die Verbindung zwischen zwei Netzen
| |
| *unterbindet unerlaubte Zugriffe von außen auf das interne System
| |
| | |
| = Firewall-Technologien =
| |
| | |
| == Paketfilternde Firewalls ==
| |
| | |
| * normalerweise Router, die über Funktionen zur Paketfilterung verfügen
| |
| * Paketfilter prüfen den Netzwerkverkehr auf OSI-Level 3 (ausschließlich - darüberliegende Schichten bleiben unberücksichtigt)
| |
| * Überprüfung von IP-Adressen, Port-Nummern & Protokollnummern
| |
| * untersucht die Pakete isoliert (keine Datenströme) - erkennt den Kontext nicht
| |
| * Pakete werden vor der Weiterleitung mit definierten Regeln verglichen
| |
| * Bei Verstoß gegen eine dieser Regeln erfolgt keine Weiterleitung an den Empfänger
| |
| * bietet für private Anwender oder kleine Unternehmen ein grundlegendes Sicherheitsniveau und Schutz vor bekannten Bedrohungen
| |
| '''Vorteile''':
| |
| * kostengünstig
| |
| * gute Performance
| |
| * ein einzelnes Gerät kann den Datenverkehr für das gesamte Netzwerk filtern
| |
| '''Nachteile''':
| |
| * fehlende Inhaltskontrolle (nur Teile des Headers werden geprüft)
| |
| * unwirksam bei gefälschten IP-Adressen
| |
| * Pflege umfangreicher Filterlisten
| |
| | |
| == Stateful Inspection Firewalls (zustandsbehaftete Inspektion)==
| |
| | |
| * untersucht den Netzwerkverkehr, um festzustellen, ob ein Paket mit anderen Paketen verknüpft ist (ob dieses Paket Teil einer etablierten TCP- oder anderen Netzwerksitzung ist oder nicht)
| |
| * Zuordnung eines jeden Datenpakets zu einer bestimmten Verbindung
| |
| * überwachet nach dem Öffnen einer Verbindung alle Aktivitäten, bis die Verbindung wieder geschlossen wird
| |
| * Dynamische Erzeugung der Regeln und deren Löschung nach einem Timeout oder nach Eingang der Antwort
| |
| * Multilayer-Inspection-Firewall, als erweiterte Variante, berücksichtigt auch höher liegende Schichten des OSI-Modells
| |
| | |
| '''Vorteile''':
| |
| * gute Sicherheit
| |
| * Überprüfung mehrerer Schichten des OSI-Modells
| |
| * hohe Leistung
| |
| * bietet ein hohes Maß an Kontrolle darüber, welche Inhalte in das Netzwerk ein- bzw. ausgelassen werden
| |
| * bietet umfassende Protokollierungsfunktionen
| |
| | |
| '''Nachteile''':
| |
| * Ressourcenintensiv und beeinträchtigt die Geschwindigkeit der Netzwerkkommunikation
| |
| | |
| == Application Layer Gateways / Proxy ==
| |
| | |
| * Die Application Layer Gateways oder Proxy-Firewalls sind Firewalls der zweiten Generation
| |
| * kann mit Caching-Proxy kombiniert werden (ist aber nicht sinnvoll)
| |
| * Überprüfung der gesamten Kommunikation auf Applikationsebene (OSI-07) - anwendungsbasierte Filterung von spezifischen Protokollen
| |
| * Zugriff auf den Proxy wird innerhalb der Client-Software realisiert
| |
| * Bietet detaillierte Sicherheitskontrollen, die beispielsweise den Zugriff auf eine Website ermöglichen, aber einschränken, welche Seiten auf dieser Website der Benutzer öffnen kann
| |
| * erlaubt keine direkte Verbindung zwischen internem Netzwerk und dem Internet - nimmt Anforderungen an & führt sie im Namen des Benutzers aus
| |
| * können verwendet werden, um Unternehmen vor Bedrohungen durch Web-Anwendungen zu schützen (Blockieren des Zugriffs auf schädliche Web-Seiten)
| |
| * Nutzung zweier Netzwerkverbindungen – vom Client zur Firewall & von der Firewall zum Server
| |
| '''Vorteile''':
| |
| * sehr gute Sicherheit
| |
| * Prüfung der Daten möglich (Prüfung auf der obersten Ebene)
| |
| '''Nachteile''':
| |
| * eingeschränkte Leistung (kann die Netzwerkleistung beeinträchtigen)
| |
| * funktioniert nicht mit allen Netzwerkprotokollen
| |
| * es werden zwei Verbindungen benötigt
| |
| | |
| == Hybrid-Firewalls ==
| |
| | |
| * stellen ein Regelwerk bereit, das die Eigenschaften von Paketfiltern, Stateful Packet Inspection & Application Layer Gateway kombiniert
| |
| * sinnvolle Kombination mehrerer Firewall-Techniken
| |
| * dynamische Änderung der Filterregeln des Paketfilters durch das Gateway
| |
| | |
| '''Vorteil''':
| |
| * eine Hybrid-Firewall hat gegenüber einem alleinigen Application Layer Gateway eine höhere Performance
| |
| '''Nachteil''':
| |
| * Sicherheitsverlust - bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat
| |
| | |
| == Next-Generation Firewalls ==
| |
| | |
| * verendet einen mehrschichtigen Ansatz und gehen mittlerweile weit über schlichte Paketfilter und Stateful-Inspections hinaus
| |
| * sind in der Lage, auch deutlich komplexere Bedrohungen abzuwehren (fortschrittliche Malware und Angriffe auf Anwendungsebene)
| |
| * enthalten standardmäßige Firewall-Funktionen wie Stateful-Inspection
| |
| * Integrierte Intrusion Prevention und Intrusion Detection
| |
| * können Aktivitäten der im Netz vorhandenen User erkennen & entscheiden anhand von Richtlinien, was diese dürfen und was nicht
| |
| * bieten eine Anwendungskontrolle, die bestimmte Aktionen bestimmter Applikationen zulassen oder blockieren kann
| |
| * enthalten überlicherweise auch Antivirus- & Antispam-Funktionen
| |
| * Integration diverser anderer Funktionalitäten, wie VPN, Schutz von VoIP-Telefonie
| |
| * entsprechende Produkte verfügen über umfangreiche Report- und Analysefunktionen
| |
| | |
| = Topologie =
| |
| | |
| ==Demilitarized Zone (DMZ)==
| |
| | |
| * Als demilitarisierte Zone wird ein Netzwerk bezeichnet, das als Pufferzone zwischen zwei Netzwerken fungiert und diese voneinander abgrenzt
| |
| * das Konzept läßt sich sowohl mit einer, als auch mit zwei Firewalls umsetzen
| |
| | |
| === DMZ mit zwei Firewalls ===
| |
| | |
| * wird in der Regel bevorzugt
| |
| * Abschirmung vom öffentlichen Netz durch eine äußere Firewall
| |
| * innere Firewall zwischen DMZ und internem Netzwerk
| |
| * Nutzer des internen Netzwerks dürfen sowohl auf die Server der DMZ, als auch auf das Internet zugreifen
| |
| * Nutzer aus dem Internet erhalten nur Zugriff auf die DMZ
| |
| * Datenverkehr aus der DMZ heraus wird von beiden Firewalls geblockt
| |
| * empfehlensert ist die Verwendung zweier unterschiedlicher Geräte
| |
| | |
| [[Datei:DMZ network diagram 2 firewall.png]]
| |
| | |
| === DMZ mit einer Firewall ===
| |
| | |
| * Einsatz einer einzigen Firewall mit drei separaten Netzwerkanschlüssen (LAN, Internet, DMZ)
| |
| * leistungsstarke Hardware erforderlich, um den Traffic zu bewältigen
| |
| * sämtliche Anschlüsse werden von der selben Firewall überwacht (Single Point of Failure)
| |
| | |
| [[Datei:DMZ network diagram 1 firewall.png]]
| |
| | |
| | |
| [[Kategorie:Firewall]] | |
| | |
| = TMP =
| |
| =Was ist eine Firewall?=
| |
| * Auf Software basierendes Sicherungssystem
| |
| * Ein Paketfilter
| |
| * Schützt vor unerwünschten Netzwerkzugriffen
| |
| * Beschränkt Netzwerkzugriff
| |
| * Überwacht Datenverkehr
| |
| * Entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden
| |
| | |
| =Firewall-Arten=
| |
| | |
| ==Personal Firewall (auch Desktop Firewall)==
| |
| [[Datei:Personal Firewall.jpg]]
| |
| | |
| * Auf einem Anwender-Computer installierte Firewall-Software
| |
| * Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
| |
| * Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
| |
| | |
| ==Externe Firewall (auch Netzwerk- oder Hardware-Firewall)==
| |
|
| |
| [[Datei:Externe Firewall.jpg]]
| |
| | |
| *liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
| |
| *beschränkt die Verbindung zwischen zwei Netzen
| |
| *unterbindet unerlaubte Zugriffe von außen auf das interne System
| |
| | |
| =Firewall-Technologien=
| |
| | |
| ==Paketfilter-Firewall==
| |
| | |
| [[Datei:OSI_Packet_Filter.jpg|450px]]
| |
| *Filterung von Datenpaketen anhand der Netzwerkadressen zu sperren oder durchzulassen
| |
| *Filterung des Ports und der IP-Adresse des Quell- und Zielsystems
| |
|
| |
| nd so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.
| |
| ===Die zustandslose Paketfilterung===
| |
| | |
| *arbeitet auf einem Firewall-Router mit statischen Regeln
| |
| *betrachtet jedes Netzwerkpaket einzeln
| |
| *stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her
| |
| *OSI-Schicht 3 (IP-Adresse) und 4 (Port)
| |
| | |
| ===Die zustandsgesteuerten Paketfilterung - Stateful Inspection===
| |
| | |
| [[Datei:stateful_inspection.png|450px]]
| |
| *erfasst Beziehungen mit der Technik der Stateful Inspection
| |
| *stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
| |
| *nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
| |
| *OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)
| |
| | |
| ==Application Layer Firewall(Proxy Firewall)==
| |
| | |
| [[Datei:Applications-Layer-firewalls.jpg|450px]]
| |
| | |
| * beachten zusätzlich den Inhalt der Netzwerkpakete: Quelle, Ziel, Dienst und die Nutzdaten
| |
| * baut selbst eine eigene Verbindung zum Zielsystem auf
| |
| * kann die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen
| |
| * reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter
| |
| * kommuniziert stellvertretend für den anfragenden Client mit dem Zielsystem
| |
| * greift in den Datenverkehr ein und terminiert die Verbindungen auf beiden Seiten (zwei eigenständige Verbindungen), anstatt die Netzwerkpakete durch zu reichen
| |
| *für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter (dedicated Proxys)
| |
| | |
| == Hybrid-Firewall==
| |
| * Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
| |
| * Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann.
| |
| === Vorteil ===
| |
| * Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance.
| |
| === Nachteil ===
| |
| * Sicherheitsverlust
| |
| * Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat.
| |
| * Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu
| |
| | |
| ==Demilitarized Zone (DMZ)==
| |
| | |
| [[Datei:DMZ network diagram 1 firewall.png]] [[Datei:DMZ network diagram 2 firewall.png]]
| |
| | |
| *sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
| |
| *Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt.
| |
| *der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
| |
| | |
| = Links =
| |
| # [Firewall:Regelwerk]
| |
| | |
| =Quellen=
| |
| # https://de.wikipedia.org/wiki/Firewall
| |