Firewall
Eine Firewall ist ein Paketfilter.
Beschreibung
Eine Firewall ist eine Software oder Firmware, die den unbefugten Zugriff auf ein Netzwerk verhindert.
- eine Netzwerksicherheitsvorrichtung, die eingehenden und ausgehenden Netzwerkverkehr überwacht
- fungiert als Barriere zwischen geschützten & kontrollierten Bereichen und externen Netzwerken, wie dem Internet
- entscheidet auf der Grundlage von Regeln, ob ein bestimmter Datenverkehr blockiert oder zugelassen wird
- kann auf dedizierter Hardware oder als Softwarekomponente implementiert sein
- bietet Schutz für einzelne Rechner, Server oder ganze IT-Umgebungen
- kann eingesetzt werden, um das interne Netz zu strukturieren und verschiedene Sicherheitszonen zu schaffen
- kann den Netzwerksverkehr und die Firewall-Aktivitäten protokollieren (Beweissicherung & Verbesserung der Regelsätze)
- bietet die Möglichkeit, interne Strukturen eines Netzwerks zu verbergen (NAT)
- Historie
- Benennung wird Steven M. Bellovin von AT&T zugeschrieben
- Der Begriff ‘‘‘Firewall‘‘‘ für das Filtern unerwünschten Netzwerkverkehrs wurde erstmals um 1987 verwendet
- Name ist eine Metapher, die Firewalls mit Trennwänden vergleicht, um zu verhindern, daß ein Feuer auf ein anderes Gebäude übergreifen kann
- Bilden seit über 25 Jahren die erste Verteidigungslinie beim Schutz von Netzwerken
Firewall-Typen
Personal Firewall
Auch Desktop Firewall genannt
- Auf einem Anwender-Computer installierte Firewall-Software
- Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
- Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
- prädestiniert für den privaten Gebrauch - kostengünstig und können auch von unerfahrenen Benutzern konfiguriert werden
Externe Firewall
Auch Netzwerk- oder Hardware-Firewall genannt
- Kombination aus Hardware- & Software-Komponenten
- eigenständiges Gerät, das verschiedene Netze miteinander verbindet
- wesentlich komplexer als Personal-Firewalls
- geringere Manipulationsgefahr, da die Software nicht auf dem zu schützenden System läuft
- liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
- beschränkt die Verbindung zwischen zwei Netzen
- unterbindet unerlaubte Zugriffe von außen auf das interne System
Installation
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
Einzelnachweise
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5
TMP
Topologie
Demilitarized Zone (DMZ)
- Als demilitarisierte Zone wird ein Netzwerk bezeichnet, das als Pufferzone zwischen zwei Netzwerken fungiert und diese voneinander abgrenzt
- das Konzept läßt sich sowohl mit einer, als auch mit zwei Firewalls umsetzen
DMZ mit zwei Firewalls
- wird in der Regel bevorzugt
- Abschirmung vom öffentlichen Netz durch eine äußere Firewall
- innere Firewall zwischen DMZ und internem Netzwerk
- Nutzer des internen Netzwerks dürfen sowohl auf die Server der DMZ, als auch auf das Internet zugreifen
- Nutzer aus dem Internet erhalten nur Zugriff auf die DMZ
- Datenverkehr aus der DMZ heraus wird von beiden Firewalls geblockt
- empfehlensert ist die Verwendung zweier unterschiedlicher Geräte
- DMZ mit einer Firewall
- Einsatz einer einzigen Firewall mit drei separaten Netzwerkanschlüssen (LAN, Internet, DMZ)
- leistungsstarke Hardware erforderlich, um den Traffic zu bewältigen
- sämtliche Anschlüsse werden von der selben Firewall überwacht (Single Point of Failure)
TMP
Was ist eine Firewall?
- Auf Software basierendes Sicherungssystem
- Ein Paketfilter
- Schützt vor unerwünschten Netzwerkzugriffen
- Beschränkt Netzwerkzugriff
- Überwacht Datenverkehr
- Entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden
Firewall-Arten
Personal Firewall (auch Desktop Firewall)
- Auf einem Anwender-Computer installierte Firewall-Software
- Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
- Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
Externe Firewall (auch Netzwerk- oder Hardware-Firewall)
- liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
- beschränkt die Verbindung zwischen zwei Netzen
- unterbindet unerlaubte Zugriffe von außen auf das interne System
Firewall-Technologien
Paketfilter-Firewall
- Filterung von Datenpaketen anhand der Netzwerkadressen zu sperren oder durchzulassen
- Filterung des Ports und der IP-Adresse des Quell- und Zielsystems
nd so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.
Die zustandslose Paketfilterung
- arbeitet auf einem Firewall-Router mit statischen Regeln
- betrachtet jedes Netzwerkpaket einzeln
- stellt also keine Beziehungen zu den vorherigen Netzwerkpaketen her
- OSI-Schicht 3 (IP-Adresse) und 4 (Port)
Die zustandsgesteuerten Paketfilterung - Stateful Inspection
- erfasst Beziehungen mit der Technik der Stateful Inspection
- stellt die Firewall den Rückkanal (Ziel- zu Quellsystem) in direkter Beziehung zur zuvor etablierten Verbindung
- nur die beteiligten Kommunikationspartner auf die Verbindung zugreifen kann
- OSI-Schicht 3 (IP-Adresse), 4 (Port) und ggf. 7 (Nutzdaten)
Application Layer Firewall(Proxy Firewall)
- beachten zusätzlich den Inhalt der Netzwerkpakete: Quelle, Ziel, Dienst und die Nutzdaten
- baut selbst eine eigene Verbindung zum Zielsystem auf
- kann die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen
- reicht die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter
- kommuniziert stellvertretend für den anfragenden Client mit dem Zielsystem
- greift in den Datenverkehr ein und terminiert die Verbindungen auf beiden Seiten (zwei eigenständige Verbindungen), anstatt die Netzwerkpakete durch zu reichen
- für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, MS-RPC usw.) gibt es einen eigenen Filter (dedicated Proxys)
Hybrid-Firewall
- Hybrid-Firewalls bestehen aus Paketfilter und Application Level Gateway
- Das Gateway kann die Filterregeln des Paketfilters dynamisch ändern kann.
Vorteil
- Einer Hybrid-Firewall hat gegenüber einem alleinigen Application Level Gateway eine höhere Performance.
Nachteil
- Sicherheitsverlust
- Bei den meisten Protokollen hat der Proxy keinerlei Kontrolle über die Verbindung, nachdem er den Paketfilter geöffnet hat.
- Deshalb muss ein Angreifer den Proxy nur eine Zeit lang in Sicherheit wiegen, um anschliessend durch den (für ihn geöffneten) Paketfilter freies Spiel zu
Demilitarized Zone (DMZ)
- sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
- Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt.
- der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.