Firewall/Administration: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „z. B. “ durch „z. B. “
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
== Leistungsmessung und Optimierung  ==
== Leistungsmessung und Optimierung  ==
Da die Geschwindigkeit von vielen dynamischen Faktoren abhängt, ist es nicht trivial die [http://de.wikipedia.org/wiki/Leistung_%28Informatik%29 Leistung] einer Firewall zu bewerten.  
Da die Geschwindigkeit von vielen dynamischen Faktoren abhängt, ist es nicht trivial die [http://de.wikipedia.org/wiki/Leistung_%28Informatik%29 Leistung] einer Firewall zu bewerten.  
* Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging).  
* Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging).  
* Ein einheitliches [http://de.wikipedia.org/wiki/Benchmarking Benchmarking] von Firewalls ist in [http://tools.ietf.org/html/rfc2647 RFC 2647] beschrieben.
* Ein einheitliches [http://de.wikipedia.org/wiki/Benchmarking Benchmarking] von Firewalls ist in [http://tools.ietf.org/html/rfc2647 RFC 2647] beschrieben.


Zeile 11: Zeile 11:
* Bei hochverfügbaren Systemen die Synchronisation der Verbindungstabelle für einzelne Regeln ausschalten.  
* Bei hochverfügbaren Systemen die Synchronisation der Verbindungstabelle für einzelne Regeln ausschalten.  
* Insbesondere bei kurzlebigen HTTP-Verbindungen ist dies gut möglich.
* Insbesondere bei kurzlebigen HTTP-Verbindungen ist dies gut möglich.
* Produktspezifische Leistungsmerkmale nutzen, wie z. B.  
* Produktspezifische Leistungsmerkmale nutzen, wie z. B. 
* Nokia IPSO Flows oder Check Point SecureXL.
* Nokia IPSO Flows oder Check Point SecureXL.
* Überprüfung, dass alle Netzwerk-Interfaces mit [http://de.wikipedia.org/wiki/Full-Duplex Full-Duplex] arbeiten.
* Überprüfung, dass alle Netzwerk-Interfaces mit [http://de.wikipedia.org/wiki/Full-Duplex Full-Duplex] arbeiten.
Zeile 24: Zeile 24:
Anhand der [http://de.wikipedia.org/wiki/Logdatei Logdateien] können falsche Firewall-Regeln oder [http://de.wikipedia.org/wiki/IP-Spoofing IP-Spoofing] erkannt werden.  
Anhand der [http://de.wikipedia.org/wiki/Logdatei Logdateien] können falsche Firewall-Regeln oder [http://de.wikipedia.org/wiki/IP-Spoofing IP-Spoofing] erkannt werden.  
* Mit Werkzeugen wie beispielsweise [http://de.wikipedia.org/wiki/Tcpdump tcpdump] oder snoop unter [http://de.wikipedia.org/wiki/Solaris_%28Betriebssystem%29 Solaris] lässt sich der aktuelle Netzwerkverkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen.  
* Mit Werkzeugen wie beispielsweise [http://de.wikipedia.org/wiki/Tcpdump tcpdump] oder snoop unter [http://de.wikipedia.org/wiki/Solaris_%28Betriebssystem%29 Solaris] lässt sich der aktuelle Netzwerkverkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen.  
* Des Weiteren bieten manche Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B.  
* Des Weiteren bieten manche Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B. 
* bei Check Point FW1 mit „fw monitor“).
* bei Check Point FW1 mit „fw monitor“).


Zeile 30: Zeile 30:
* Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung.
* Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung.


Neben den Möglichkeiten der Firewall sind Werkzeuge wie [http://de.wikipedia.org/wiki/Ping_%28Datenübertragung%29 ping], [http://de.wikipedia.org/wiki/Nmap nmap] oder [http://de.wikipedia.org/wiki/Traceroute traceroute] hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B.  
Neben den Möglichkeiten der Firewall sind Werkzeuge wie [http://de.wikipedia.org/wiki/Ping_%28Datenübertragung%29 ping], [http://de.wikipedia.org/wiki/Nmap nmap] oder [http://de.wikipedia.org/wiki/Traceroute traceroute] hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B. 
* im [http://de.wikipedia.org/wiki/Routing Routing] oder dass der Ziel-Port gar nicht geöffnet ist.
* im [http://de.wikipedia.org/wiki/Routing Routing] oder dass der Ziel-Port gar nicht geöffnet ist.


=== Problematische Protokolle  ===
=== Problematische Protokolle  ===
==== Voice over IP und Videokonferenzen  ====
==== Voice over IP und Videokonferenzen  ====
[http://de.wikipedia.org/wiki/Voice_over_IP Voice over IP] (VoIP) und [http://de.wikipedia.org/wiki/Videokonferenz Videokonferenzen] sind für Stateful Firewalls nicht trivial, da meist mehrere verschiedene Protokolle (z. B.  
[http://de.wikipedia.org/wiki/Voice_over_IP Voice over IP] (VoIP) und [http://de.wikipedia.org/wiki/Videokonferenz Videokonferenzen] sind für Stateful Firewalls nicht trivial, da meist mehrere verschiedene Protokolle (z. B. 
* für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind.  
* für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind.  
* Manche kommerzielle Firewalls verstehen die VoIP-Protokolle ([http://de.wikipedia.org/wiki/Session_Initiation_Protocol SIP] oder [http://de.wikipedia.org/wiki/Skinny_Client_Control_Protocol Skinny]) und sind daher in der Lage, Ports dynamisch zu öffnen.
* Manche kommerzielle Firewalls verstehen die VoIP-Protokolle ([http://de.wikipedia.org/wiki/Session_Initiation_Protocol SIP] oder [http://de.wikipedia.org/wiki/Skinny_Client_Control_Protocol Skinny]) und sind daher in der Lage, Ports dynamisch zu öffnen.

Aktuelle Version vom 20. Mai 2023, 02:53 Uhr

Leistungsmessung und Optimierung

Da die Geschwindigkeit von vielen dynamischen Faktoren abhängt, ist es nicht trivial die Leistung einer Firewall zu bewerten.

  • Dazu gehören die Größe des Regelwerks und Reihenfolge der Regeln, Art des Netzwerk-Verkehrs und Konfiguration der Firewall (z. B. Stateful, Logging).
  • Ein einheitliches Benchmarking von Firewalls ist in RFC 2647 beschrieben.

Zur Optimierung sind folgende Maßnahmen möglich:* Mehr Hauptspeicher und/oder eine schnellere CPU.

  • Ausschalten von Logging für einzelne Regeln.
  • Unbenutzte Regeln und Routing-Einträge entfernen.
  • Häufig benutzte Regeln im Regelwerk nach oben stellen.
  • Dabei ist zu beachten, dass sich dadurch die Bedeutung des Regelwerks ändern könnte.
  • Bei hochverfügbaren Systemen die Synchronisation der Verbindungstabelle für einzelne Regeln ausschalten.
  • Insbesondere bei kurzlebigen HTTP-Verbindungen ist dies gut möglich.
  • Produktspezifische Leistungsmerkmale nutzen, wie z. B. 
  • Nokia IPSO Flows oder Check Point SecureXL.
  • Überprüfung, dass alle Netzwerk-Interfaces mit Full-Duplex arbeiten.
  • Anpassung von Netzwerk-Parametern des Betriebssystems

Fehlersuche

Die Fehlersuche in einem großen Netzwerk kann sehr komplex werden.

Häufige Fehler sind z. B., dass eine Firewall-Regel IP-Adressen enthält, die durch eine NAT-Verbindung oder ein VPN geändert wurden.

  • Je nach eingesetzter Firewall-Software und Betriebssystem unterscheiden sich die Möglichkeiten zur Fehlersuche.

Anhand der Logdateien können falsche Firewall-Regeln oder IP-Spoofing erkannt werden.

  • Mit Werkzeugen wie beispielsweise tcpdump oder snoop unter Solaris lässt sich der aktuelle Netzwerkverkehr an ein- und ausgehender Netzwerkschnittstelle beobachten und vergleichen.
  • Des Weiteren bieten manche Systeme einen Einblick in die interne Verarbeitung der Firewall-Software (z. B. 
  • bei Check Point FW1 mit „fw monitor“).

Bei einem Firewallsystem im Cluster-Betrieb sind Logdateien nützlich, um festzustellen, welche Maschine die fehlerhafte Verbindung überhaupt bearbeitet.

  • Die Logdateien sind für eine detaillierte Fehlersuche ungeeignet, wenn sie nicht für jedes einzelne Paket einen Eintrag schreiben, sondern nur pro Verbindung.

Neben den Möglichkeiten der Firewall sind Werkzeuge wie ping, nmap oder traceroute hilfreich, um festzustellen, ob der Fehler außerhalb des Systems liegt, z. B. 

  • im Routing oder dass der Ziel-Port gar nicht geöffnet ist.

Problematische Protokolle

Voice over IP und Videokonferenzen

Voice over IP (VoIP) und Videokonferenzen sind für Stateful Firewalls nicht trivial, da meist mehrere verschiedene Protokolle (z. B. 

  • für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind.
  • Manche kommerzielle Firewalls verstehen die VoIP-Protokolle (SIP oder Skinny) und sind daher in der Lage, Ports dynamisch zu öffnen.

Siehe auch Session Initiation Protocol (SIP)

File Transfer Protocol (FTP)

FTP ist zwar ein ziemlich altes, aber für Firewalls schwieriges Protokoll.

  • Insbesondere der aktive FTP-Modus, bei dem zusätzlich zur Steuerverbindung auf Port 21 eine weitere Datenverbindung quasi rückwärts vom Server zum Client aufgebaut wird, bereitet manchen Firewalls Probleme.

Die rückwärts aufgebaute Verbindung lässt sich vom Betreiber des FTP-Servers theoretisch auch für Angriffe missbrauchen.

  • Daher verbieten manche Firewallsysteme den Aufbau der Datenverbindung auf Portnummern, die für andere Dienste bekannt sind.
  • Dies hat den Vorteil, dass die Anfälligkeit gegenüber einem Missbrauch der Datenverbindung für Angriffe reduziert wird.

Typische Symptome einer Firewall, die Probleme mit FTP hat, ist eine funktionierende Navigation durch die Verzeichnisse, aber Verbindungsabbrüche ohne Fehlermeldung bei der Datenübertragung.

  • Die oben genannten Probleme treten nicht auf bei passivem FTP (Konfigurierbar im FTP-Client oder durch Eingabe von „PASV“ in Kommandozeilen-Clients) oder bei Verwendung des verschlüsselten auf dem SSH-Protokoll basierenden SCP.

Produkte

Firewall-Software

  • „Astaro Security Linux“ ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
  • Check Point Firewall 1 ist eine kommerzielle Firewall-Applikation, die auf Unix- Windows- und Nokia-Appliances läuft
  • Endian Firewall ist eine Open Source-Linux-Distribution für Gateway/Router/Firewall-Systeme, die umfassenden Gateway-Schutz bietet (Antivirus, Antispam, DMZ, Intrusion Detection, etc.) und als Headless Server sehr einfach über ein Webfrontend zu konfigurieren ist.
  • Der Eindisketten-Router fli4l ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.
  • IPFire ist eine freie Linux-Distribution die in erster Linie als Router und Firewall fungiert, diese sich durch einen Paketmanager leicht um vielen Zusatzfunktionen erweitern lässt.
  • IPCop ist eine einfach zu bedienende Linux-Distribution, ein ausgewogener Kompromiss zwischen sicherer Firewall und reichem Funktionsumfang (Antivirus, Antispam, DMZ, Proxy).
  • ipfw ist ein Paketfilter des FreeBSD-Betriebssystems, als wipfw auch für Windows-Systeme verfügbar.
  • Netfilter / IPTables – Paketfilter innerhalb des Linux-Kernels.
  • M0n0wall ist eine BSD-basierte Firewall, auf Sicherheit optimiert, eine Lösung, die mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
  • pfsense ist eine einfach zu bedienende BSD-basierte Firewall, Ableger von M0n0wall, ein Kompromiss zwischen sicherer Firewall und reichem Funktionsumfang (Antivirus, Antispam, DMZ, Proxy).
  • phion netfence – europäisches Enterprise Firewall Produkt, welches als Software- und Hardware Appliance verfügbar ist.
  • Microsoft Internet Security and Acceleration Server ist eine kommerzielle Firewall von Microsoft, basiert auf Windows Server 2000/2003.
  • Vorteilhaft ist die Integration in die Active Directory-Verzeichnisstruktur, nachteilig ist das zu komplexe Basis-Betriebssystem mit seinen hinreichend bekannten Sicherheitsproblemen.
  • pf ist eine Open-Source-Firewall, die ursprünglich für OpenBSD entwickelt und später auf andere BSD-Betriebssysteme portiert wurde.
  • „Securepoint Linux“ ist eine kommerzielle UTM-Linux-Distribution.
  • Shorewall
  • SME Server ist eine auf Open Source-Software basierende Firewall, die auch Serverfunktionen zum Einsatz im SoHo-Bereich enthält.

Firewall-Geräte

Firewall-Geräte bieten eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software:* Check Point VPN-1 Edge und UTM-1

Entstehung der Firewall

Die ersten Packet Filter wurden im Jahr 1985 von Cisco in ihre Router eingebaut.

  • Die erste Studie über das Filtern von Netzwerkverkehr wurde im Jahr 1988 von Jeff Mogul veröffentlicht.

In der Anfangszeit des Internet waren Administratoren meist nicht sensibilisiert gegenüber möglichen Angriffen innerhalb des Netzes.

Das änderte sich erst im Jahr 1988, als von Robert Morris der erste Computerwurm programmiert und freigesetzt wurde.

  • Er legte ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes.
  • Danach wurde der Einsatz von Firewalls populär.