Was ist eine Firewall?

• eine auf einer Softwarekomponente basierendes Sicherungssystem, (oder auch ein Filter)
• schützt vor unerwünschten Netzwerkzugriffen und beschränkt den Netzwerkzugriff
• überwacht den laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden

Firewall-Arten

Personal Firewall (auch Desktop Firewall)

• eine lokal auf dem Computer installierte Firewall-Software
• unterbindet ungewollte Zugriffe von außen auf Netzwerkdienste des Computers
• kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren

Externe Firewall (auch Netzwerk- oder Hardware-Firewall)

• liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
• beschränkt die Verbindung zwischen zwei Netzen
• unterbindet unerlaubte Zugriffe von außen auf das interne System
• Im Unterschied zur Personal Firewall besteht sie nicht zwangsläufig aus nur einem einzigen Computer(Hardware-Firewall), denn sie kann auch aus einem Verbund mehrerer Computer bestehen
• in der Praxis gibt es keine Firewalls, die ausschließlich auf Hardware basieren
• sie kann zwar auf einem eigenen Betriebssystem laufen und auf unterschiedliche Netzwerkebenen zugreifen, jedoch wird sie dadurch nicht Bestandteil der Hardware
• enthält immer als wesentlichen Bestandteil eine Software.
• Der Begriff Hardware-Firewall wird als Synonym für externe Firewalls verwendet (es handelt sich um eine separate Hardware, auf der die Firewall-Software läuft)
• es gibt Hardware, die für die Verwendung der Firewall-Software optimiert wurde

Firewall-Technologien

Paketfilter-Firewall

• Netzwerkpakete anhand ihrer Netzwerkadresse zu sperren oder durchzulassen
• wertet sie die Header-Informationen der Netzwerkpakete aus

Die zustandslose Paketfilterung

• arbeitet auf einem Firewall-Router mit statischen Regeln
• betrachtet jedes Netzwerkpaket einzeln
• stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her
• OSI-Schicht 3 (IP-Adresse) und 4 (Port)

Die zustandsgesteuerten Paketfilterung - Stateful Inspection

• erfasst Beziehungen mit der Technik der Stateful Inspection
• stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
• nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
• OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)

Application Layer Firewall(Proxy Firewall)

• es kann für das selbe Protokoll mehrere dedicated Proxys geben
• wird als Paketfilter-Firewall klassifiziert
• eine Software, die auf einem Router installiert ist und die Netzwerkverbindung beschränkt
• bietet keine genauere Form der Paketfilterung (Stateful Inspection) und keine erweiterte Form der Filterung
• bei gleicher Hardware verglichen mit anderen Firewall-Arten sehr schnell
• ist ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt (auch Proxy-Server genannt)
• verhält sich dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client
• die Filter beachten zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst typischerweise noch die Nutzdaten (Inhalt der Netzwerkpakete)
• reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter
• baut selbst eine eigene Verbindung zum Zielsystem auf
• kommuniziert stellvertretend für den anfragenden Client mit dem Zielsystem
• greift in den Datenverkehr ein und terminiert die Verbindungen auf beiden Seiten (zwei eigenständige Verbindungen), anstatt die Netzwerkpakete durch zu reichen
• für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter (dedicated Proxys)

Hybrid-Firewall

• Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
• Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann.

Vorteil

• Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance.

Nachteil

• Sicherheitsverlust
• Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat.
• Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu