(53 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1:
Zeile 1:
'''Firewall''' - Paketfilter
'''Firewall''' - System zum Schutz von Computern vor unerwünschten Netzwerkzugriffen
== Beschreibung ==
== Beschreibung ==
Eine Firewall (von [http://de.wikipedia.org/wiki/Englische_Sprache englisch] firewall [[http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ˈfaɪəwɔːl]] „die [http://de.wikipedia.org/wiki/Brandwand Brandmauer]“) ist ein Sicherungssystem, das ein [http://de.wikipedia.org/wiki/Rechnernetz Netzwerk] oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und ist weiter gefasst auch ein Teilaspekt eines [http://de.wikipedia.org/wiki/Sicherheitskonzept Sicherheitskonzepts]
; Jedes Firewall-Sicherungssystem [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Hardware-Firewall basiert auf einer Softwarekomponente]
; Filtern unerwünschten Netzwerkverkehrs
* Die Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten [http://de.wikipedia.org/wiki/Netzwerkdienst Diensten]
''Firewall'' ist eine Metapher, die Firewalls mit Trennwänden vergleicht, um zu verhindern, dass ein Feuer auf ein anderes Gebäude übergreifen kann
* Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand [http://de.wikipedia.org/wiki/Firewall-Regelwerk festgelegter Regeln], ob bestimmte [http://de.wikipedia.org/wiki/Datenpaket Netzwerkpakete] durchgelassen werden oder nicht
* 1987 erstmals als Begriff für das Filtern unerwünschten Netzwerkverkehrs
* Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden
* Steven M. Bellovin von AT&T
; Sicherungssystem
* Gegen unerwünschte Netzwerkzugriffe
* Brandmauer
* Teilaspekt eines [[IT-Sicherheitskonzept]]s
[[Image:Grafik2.png|right]]
== Angriffserkennung ==
; Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen einer [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Personal_Firewall_.28auch_Desktop_Firewall.29 Personal Firewall] (auch Desktop Firewall) und einer [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Externe_Firewall_.28auch_Netzwerk-_oder_Hardware-Firewall.29 externen Firewall] (auch Netzwerk- oder Hardware-Firewall genannt)
; Angriffserkennung ist keine Firewall-Funktion
Sie soll Regeln für die Netzwerkkommunikation umsetzen
; In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt
; Aufspüren von Angriffen
* In diesem Fall kann ‚Firewall’ auch als Bezeichnung für das komplette System stehen (ein Gerät mit der beschriebenen Funktion)
[[Intrusion-Detection-System]]e ([[IDS]]/[[IPS]])
* [[IDS]]-Module, die auf einer Firewall installiert sein könnten
* Nicht Teil der Firewall
; Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen
== Firewall-Software ==
* Sie soll ausschließlich Regeln für die Netzwerkkommunikation umsetzen
Firewall-Systeme basieren auf einer Softwarekomponente
* Für das Aufspüren von Angriffen sind sogenannte [http://de.wikipedia.org/wiki/Intrusion_Detection_System IDS]-Module zuständig, welche durchaus auf einer Firewall aufsetzen können
; Die externe Firewall befindet sich zwischen verschiedenen Rechnernetzen
Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten [https://de.wikipedia.org/wiki/Netzwerkdienst Diensten]
* In diesem Beispiel beschränkt sie den Netzwerkzugriff des Internets (externes Netz; [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]) auf das private (in sich geschlossene) Netz (internes Netz; [http://de.wikipedia.org/wiki/Local_Area_Network LAN])
* Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand [https://de.wikipedia.org/wiki/Firewall-Regelwerk festgelegter Regeln], ob bestimmte [https://de.wikipedia.org/wiki/Datenpaket Netzwerkpakete] durchgelassen werden oder nicht
* Sie tut dies, indem sie beispielsweise (Antwort-)Pakete durchlässt, die aus dem internen Netz heraus angefordert wurden und alle anderen Netzwerkpakete blockiert
* Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden
<!--
[[Image:Grafik2.png|right]]
-->
[[Image:Grafik3.png|right]]Die Software der Personal Firewall läuft auf dem zu schützenden Computersystem und beschränkt dort den Zugriff auf Netzwerkdienste des Computers
Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen einer [https://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Personal_Firewall_.28auch_Desktop_Firewall.29 Personal Firewall] (auch Desktop Firewall) und einer [https://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Externe_Firewall_.28auch_Netzwerk-_oder_Hardware-Firewall.29 externen Firewall] (auch Netzwerk- oder Hardware-Firewall genannt)
* Abhängig vom Produkt kann sie zudem versuchen, innerhalb [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen ihrer Grenzen] den unerlaubten Zugriff von Anwendungen auf das Netz zu unterbinden
; Eine Firewall ist eine Software, die unbefugten Zugriff auf ein Netzwerk verhindern soll
; Eine Firewall ist eine Software
Eine Firewall ist eine Software, die unbefugten Zugriff auf ein Netzwerk verhindern soll
* eine Netzwerksicherheitsvorrichtung
* eine Netzwerksicherheitsvorrichtung
* die eingehenden und ausgehenden Netzwerkverkehr überwacht
* die eingehenden und ausgehenden Netzwerkverkehr überwacht
Zeile 38:
Zeile 48:
* bietet die Möglichkeit, interne Strukturen eines Netzwerks zu verbergen (NAT)
* bietet die Möglichkeit, interne Strukturen eines Netzwerks zu verbergen (NAT)
; Historie
== Personal/Externen Firewall ==
* Benennung wird Steven M. Bellovin von AT&T zugeschrieben
In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt
* Der Begriff ''Firewall'' für das Filtern unerwünschten Netzwerkverkehrs wurde erstmals um 1987 verwendet
* In diesem Fall kann ‚Firewall’ auch als Bezeichnung für das komplette System stehen (ein Gerät mit der beschriebenen Funktion)
* Name ist eine Metapher, die Firewalls mit Trennwänden vergleicht, um zu verhindern, daß ein Feuer auf ein anderes Gebäude übergreifen kann
* Bilden seit über 25 Jahren die erste Verteidigungslinie beim Schutz von Netzwerken
; Was ist eine Firewall?
== Externe Firewall ==
* Auf Software basierendes Sicherungssystem
Befindet sich zwischen verschiedenen Rechnernetzen
* Ein Paketfilter
* Hier beschränkt sie den Netzwerkzugriff des Internets (externes Netz; [https://de.wikipedia.org/wiki/Wide_Area_Network WAN]) auf das private (in sich geschlossene) Netz (internes Netz; [https://de.wikipedia.org/wiki/Local_Area_Network LAN])
* Schützt vor unerwünschten Netzwerkzugriffen
* Sie tut dies, indem sie beispielsweise (Antwort-)Pakete durchlässt, die aus dem internen Netz heraus angefordert wurden und alle anderen Netzwerkpakete blockiert
* Beschränkt Netzwerkzugriff
<!--
* Überwacht Datenverkehr
[[Image:Grafik3.png|right]]
* Entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden
-->
== Firewall-Typen ==
=== Personal Firewall ===
; Auf einem Anwender-Computer installierte Firewall-Software
* Auch Desktop Firewall genannt
* Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
* Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren
* prädestiniert für den privaten Gebrauch - kostengünstig und können auch von unerfahrenen Benutzern konfiguriert werden
=== Externe Firewall ===
[[Datei:Externe Firewall.jpg|mini]]
; Kombination aus Hardware- & Software-Komponenten
* Auch Netzwerk- oder Hardware-Firewall genannt
* Kombination aus Hardware- & Software-Komponenten
* eigenständiges Gerät, das verschiedene Netze miteinander verbindet
* wesentlich komplexer als Personal-Firewalls
* geringere Manipulationsgefahr, da die Software nicht auf dem zu schützenden System läuft
* liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
* beschränkt die Verbindung zwischen zwei Netzen
* unterbindet unerlaubte Zugriffe von außen auf das interne System
==Firewall-Technologien==
===Paketfilter-Firewall===
[[Datei:OSI_Packet_Filter.jpg|mini]]
* Filterung von Datenpaketen anhand von Netzwerkadressen
* Filterung des Ports und der IP-Adresse des Quell- und Zielsystems
==== Zustandslose Paketfilterung ====
*arbeitet auf einem Firewall-Router mit statischen Regeln
*betrachtet jedes Netzwerkpaket einzeln
*stellt keine Beziehungen zu den vorherigen Netzwerkpaketen her
*erfasst Beziehungen mit der Technik der Stateful Inspection
*stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
*nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
*OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)
=== Application Layer Firewall ===
[[Application Layer Firewall]]
=== Hybrid-Firewall===
* Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
* Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann
; Vorteil
* Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance
; Nachteil
* Sicherheitsverlust
* Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat
* Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu
=== Paketfilternde Firewalls ===
* normalerweise Router, die über Funktionen zur Paketfilterung verfügen
* Paketfilter prüfen den Netzwerkverkehr auf OSI-Level 3 (ausschließlich - darüberliegende Schichten bleiben unberücksichtigt)
* Überprüfung von IP-Adressen, Port-Nummern & Protokollnummern
* untersucht die Pakete isoliert (keine Datenströme) - erkennt den Kontext nicht
* Pakete werden vor der Weiterleitung mit definierten Regeln verglichen
* Bei Verstoß gegen eine dieser Regeln erfolgt keine Weiterleitung an den Empfänger
* bietet für private Anwender oder kleine Unternehmen ein grundlegendes Sicherheitsniveau und Schutz vor bekannten Bedrohungen
;Vorteile
* kostengünstig
* gute Performance
* ein einzelnes Gerät kann den Datenverkehr für das gesamte Netzwerk filtern
;Nachteile
* fehlende Inhaltskontrolle (nur Teile des Headers werden geprüft)
* unwirksam bei gefälschten IP-Adressen
* Pflege umfangreicher Filterlisten
=== Stateful Inspection Firewalls ===
; Zustandsbehaftete Inspektion
* untersucht den Netzwerkverkehr, um festzustellen, ob ein Paket mit anderen Paketen verknüpft ist (ob dieses Paket Teil einer etablierten TCP- oder anderen Netzwerksitzung ist oder nicht)
* Zuordnung eines jeden Datenpakets zu einer bestimmten Verbindung
* überwachet nach dem Öffnen einer Verbindung alle Aktivitäten, bis die Verbindung wieder geschlossen wird
* Dynamische Erzeugung der Regeln und deren Löschung nach einem Timeout oder nach Eingang der Antwort
=== Multilayer-Inspection-Firewall ===
* erweiterte Variante
* berücksichtigt auch höher liegende Schichten des OSI-Modells
;Vorteile
* gute Sicherheit
* Überprüfung mehrerer Schichten des OSI-Modells
* hohe Leistung
* bietet ein hohes Maß an Kontrolle darüber, welche Inhalte in das Netzwerk ein- bzw. ausgelassen werden
* bietet umfassende Protokollierungsfunktionen
;Nachteile
* Ressourcenintensiv und beeinträchtigt die Geschwindigkeit der Netzwerkkommunikation
=== Application Layer Gateways / Proxy ===
* Die Application Layer Gateways oder Proxy-Firewalls sind Firewalls der zweiten Generation
* kann mit Caching-Proxy kombiniert werden (ist aber nicht sinnvoll)
* Überprüfung der gesamten Kommunikation auf Applikationsebene (OSI-07) - anwendungsbasierte Filterung von spezifischen Protokollen
* Zugriff auf den Proxy wird innerhalb der Client-Software realisiert
* Bietet detaillierte Sicherheitskontrollen, die etwa den Zugriff auf eine Website ermöglichen, aber einschränken, welche Seiten auf dieser Website der Benutzer öffnen kann
* erlaubt keine direkte Verbindung zwischen internem Netzwerk und dem Internet - nimmt Anforderungen an & führt sie im Namen des Benutzers aus
* können verwendet werden, um Unternehmen vor Bedrohungen durch Web-Anwendungen zu schützen (Blockieren des Zugriffs auf schädliche Web-Seiten)
* Nutzung zweier Netzwerkverbindungen – vom Client zur Firewall & von der Firewall zum Server
;Vorteile
* hervorragende Sicherheit
* Prüfung der Daten möglich (Prüfung auf der obersten Ebene)
;Nachteile
* eingeschränkte Leistung (kann die Netzwerkleistung beeinträchtigen)
* funktioniert nicht mit allen Netzwerkprotokollen
* es werden zwei Verbindungen benötigt
=== Hybrid-Firewalls ===
* stellen ein Regelwerk bereit, das die Eigenschaften von Paketfiltern, Stateful Packet Inspection & Application Layer Gateway kombiniert
* dynamische Änderung der Filterregeln des Paketfilters durch das Gateway
; Vorteil
* eine Hybrid-Firewall hat gegenüber einem alleinigen Application Layer Gateway eine höhere Performance
; Nachteil
* Sicherheitsverlust - bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat
=== Next-Generation Firewalls ===
; Mehrschichtigen Ansatz
* gehen mittlerweile weit über schlichte Paketfilter und Stateful-Inspections hinaus
* sind in der Lage, auch deutlich komplexere Bedrohungen abzuwehren (fortschrittliche Malware und Angriffe auf Anwendungsebene)
* enthalten standardmäßige Firewall-Funktionen wie Stateful-Inspection
* Integrierte Intrusion Prevention und Intrusion Detection
* können Aktivitäten der im Netz vorhandenen User erkennen & entscheiden anhand von Richtlinien, was diese dürfen und was nicht
* bieten eine Anwendungskontrolle, die bestimmte Aktionen bestimmter Applikationen zulassen oder blockieren kann
* enthalten überlicherweise auch Antivirus- & Antispam-Funktionen
* Integration diverser anderer Funktionalitäten, wie VPN, Schutz von VoIP-Telefonie
* entsprechende Produkte verfügen über umfangreiche Report- und Analysefunktionen
== Demilitarized Zone (DMZ) ==
Die Software der Personal Firewall läuft auf dem zu schützenden Computersystem und beschränkt dort den Zugriff auf Netzwerkdienste des Computers
[[Demilitarisierte_Zone]]
* Abhängig vom Produkt kann sie zudem versuchen, innerhalb [https://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen ihrer Grenzen] den unerlaubten Zugriff von Anwendungen auf das Netz zu unterbinden
Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten
Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht
Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden
Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen einer Personal Firewall (auch Desktop Firewall) und einer externen Firewall (auch Netzwerk- oder Hardware-Firewall genannt)
Eine Firewall ist eine Software
Eine Firewall ist eine Software, die unbefugten Zugriff auf ein Netzwerk verhindern soll
eine Netzwerksicherheitsvorrichtung
die eingehenden und ausgehenden Netzwerkverkehr überwacht
fungiert als Barriere zwischen geschützten & kontrollierten Bereichen und externen Netzwerken, wie dem Internet
entscheidet auf der Grundlage von Regeln, ob ein bestimmter Datenverkehr blockiert oder zugelassen wird
kann auf dedizierter Hardware oder als Softwarekomponente implementiert sein
bietet Schutz für einzelne Rechner, Server oder ganze IT-Umgebungen
kann eingesetzt werden, um das interne Netz zu strukturieren und verschiedene Sicherheitszonen zu schaffen
kann den Netzwerksverkehr und die Firewall-Aktivitäten protokollieren (Beweissicherung & Verbesserung der Regelsätze)
bietet die Möglichkeit, interne Strukturen eines Netzwerks zu verbergen (NAT)
Personal/Externen Firewall
In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt
In diesem Fall kann ‚Firewall’ auch als Bezeichnung für das komplette System stehen (ein Gerät mit der beschriebenen Funktion)
Externe Firewall
Befindet sich zwischen verschiedenen Rechnernetzen
Hier beschränkt sie den Netzwerkzugriff des Internets (externes Netz; WAN) auf das private (in sich geschlossene) Netz (internes Netz; LAN)
Sie tut dies, indem sie beispielsweise (Antwort-)Pakete durchlässt, die aus dem internen Netz heraus angefordert wurden und alle anderen Netzwerkpakete blockiert
Die Software der Personal Firewall läuft auf dem zu schützenden Computersystem und beschränkt dort den Zugriff auf Netzwerkdienste des Computers
Abhängig vom Produkt kann sie zudem versuchen, innerhalb ihrer Grenzen den unerlaubten Zugriff von Anwendungen auf das Netz zu unterbinden
