Firewall-Systeme: Ein umfassender Überblick - FAQ
Was ist eine Firewall?
Eine Firewall ist ein Sicherheitskonzept, das mittels Hard- und Softwaretechnologie ein Netzwerk schützt. Sie konzentriert Sicherheitsinstrumente an einem zentralen Punkt und schränkt den Zugriff auf und von Netzwerken ein. Häufig trennt sie private von öffentlichen Systemen, kann aber auch den Zugriff zwischen Teilnetzen eines Intranets regeln. Der Begriff „Personal Firewall“ ist in diesem Zusammenhang irreführend.
Welche Ziele verfolgt der Einsatz einer Firewall?
Eine Firewall soll die Arbeitsumgebung vor unberechtigten Zugriffen schützen, ohne die Produktivität unnötig einzuschränken. Absolute Sicherheit ist nicht erreichbar, das Ziel besteht darin, unberechtigten Zugriff zu erschweren oder auszuschließen. Der Aufwand zum Knacken des Systems sollte im Missverhältnis zum Wert der Daten stehen. Sicherheit ist kein Produkt, sondern muss vermittelt und durch Schulungen von Administratoren und Mitarbeitern gewährleistet werden.
Welche Arten von Firewalls gibt es?
Es gibt verschiedene Arten, die alle auf dem Prinzip basieren, zunächst den gesamten Netzwerkverkehr zu sperren und nur notwendige Verbindungen zuzulassen. Dies beinhaltet sowohl Software- als auch Hardware-Lösungen. Wichtige Arten sind Stateless (Static) IP Filtering Firewalls, Stateful IP Filtering Firewalls, Application Level Gateways (Proxys) und Hybrid Level Gateways.
Wie funktionieren Stateless (Static) IP Filtering Firewalls?
Diese älteren Firewalls arbeiten auf Schicht 3-4 des ISO/OSI-Modells. Sie prüfen nur die Header der Pakete und lassen diese basierend auf vordefinierten Regeln zu oder verwerfen sie. Sie sind statisch, einfach zu implementieren und ressourcenschonend, aber bei komplexeren Protokollen wie FTP problematisch.
Was sind die Unterschiede zu Stateful IP Filtering Firewalls?
Stateful Firewalls arbeiten ähnlich, können aber Verbindungen überwachen und dynamisch entscheiden, ob ein Paket vertrauenswürdig ist. Sie erkennen beispielsweise, ob ein eingehendes FTP-Paket zu einer vom lokalen Netzwerk initiierten Verbindung gehört.
Wie funktionieren Application Level Gateways (Proxys)?
Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Modells. Für jeden Dienst (HTTP, FTP etc.) ist ein Proxy nötig. Sie vermitteln zwischen lokalem und öffentlichem Netzwerk, prüfen Anfragen und Antworten und verhindern direkten Datenverkehr zwischen Client und Server. Proxys ermöglichen Inhaltsfilterung und bekannte Angriffe können gefiltert werden. Socks4 und Socks5 Proxys bieten vereinfachte Lösungen.
Was sind Hybrid Level Gateways?
Hybrid Level Gateways kombinieren die Funktionen von Application Level Gateways und Stateful IP Filtering Firewalls.
Welche Vor- und Nachteile haben Firewalls?
Firewalls sind heutzutage unerlässlich. Die Nachteile werden durch die Notwendigkeit des Schutzes von Daten aufgewogen. Jedes an ein größeres Netzwerk angeschlossene System ist ein potenzielles Ziel für Angriffe.
Was sind Denial-of-Service (DoS) und Distributed Denial-of-Service (DDoS) Angriffe? (Anhang)
Der Anhang erwähnt DoS und DDoS Angriffe als Beispiele für Angriffsarten, die Firewalls abwehren sollen. DoS-Angriffe überlasten ein System mit Anfragen, während DDoS-Angriffe dies von mehreren Quellen gleichzeitig tun. Weitere Angriffsarten wie "Firewall Piercing" werden ebenfalls erwähnt.
Sind Personal Firewalls empfehlenswert?
Der Text warnt ausdrücklich vor Personal Firewalls und nennt Gründe, warum deren Einsatz eher abzuraten ist, unter anderem Self Denial of Service (SelfDOS).
Inhaltsverzeichnis
1. Einleitung
2. Definition
3. Was gilt es zu erreichen?
3.1 Wie sicher ist Sicher?
4. Arten von Firewalls
4.1 Hard- oder Software
4.2 Stateless (Static) IP Filtering Firewalls
4.2.1 Zusammenfassung Stateless Filtering
4.3 Stateful IP Filtering Firewalls
4.4 Application Level Gateways (Proxy)
4.5 Hybrid Level Gateways
5. Vor- und Nachteile von Firewalls
6. Weshalb Personal Firewalls schlecht sind
6.1 Gründe gegen den Einsatz von Personal Firewalls
6.2 Self Denial of Service (SelfDOS)
6.3 Fazit Personal Firewalls
7. Quellen
Anhang
I. Angriffsarten
I. I Denial of Service (DOS)
I. II Distributed Denial of Service (DDOS)
I. III Firewall Piercing
1. Einleitung
In der heutigen Zeit sind Daten ein besonders zu behandelndes Gut. In jeglicher erdenklichen Situation werden Daten bewusst oder unbewusst erfasst, die durch elektronische Systeme (z.B. Computersysteme) verarbeitet werden. Das Internet bildet ein stetig wachsendes Netzwerk zur Übertragung von Daten jeglicher Art. Gerade vertrauliche Daten sind daher besonders zu schützen. Damit vertrauliche Daten, z.B. Firmengeheimnisse, Personaldaten usw. nicht in die Hände von unberechtigten Personen gelangen, werden verschiedene Arten von Sicherheitsmassnahmen angewandt. Firewalls bilden einen erheblichen Bestandteil bei der Realisierung individueller Sicherheitskonzepte. Ziel von sog. Firewalls ist es den Zugriff auf und von Netzwerken einzuschränken.
2. Definition
Was ist eigentlich eine Firewall? Eine Firewall ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. Firewalls bestehen daher in der Regel aus mehreren Komponenten. Durch Einsatz einer Firewall werden die Sicherheitsinstrumente auf einen zentralen Punkt konzentriert. Meistens werden Firewalls eingesetzt um private von öffentlichen Systemen zu trennen. Sie können aber auch eingesetzt werden, um Übergriffe aus anderen Teilnetzen eines Intranets zu verweigern bzw. zuzulassen. Der Ausdruck Firewall ist für sog. Personal Firewalls also gänzlich unangebracht.
3. Was gilt es zu erreichen?
Eine Firewall soll eine Arbeitsumgebung vor unberechtigten Zugriffen schützen, aber dabei die eigenen Möglichkeiten so wenig wie möglich einschränken. D.h. Sicherheit steht immer im Verhältnis zu der zu erreichenden Produktivität.
3.1 Wie sicher ist Sicher?
Eine 100%ige Sicherheit kann niemand gewährleisten. Selbst das beste Sicherheitskonzept gilt als knackbar. Der Sinn eines solchen Konzepts ist es, den unberechtigten Zugriff möglichst auszuschliessen bzw. zu erschweren. Stehen Kosten- und Zeitaufwand ein System zu knacken mit den zu erlangenden Daten nicht überein, ist es nicht mehr rentabel Zugriff auf das System zu erlangen. Sicherheit ist zudem kein käufliches Produkt, Sicherheit wird vermittelt. Dabei müssen Administratoren wie auch andere Mitarbeiter dahingehen geschult werden.
4. Arten von Firewalls
Es gibt verschiedene Arten von Firewall Systemen. Für alle Systeme gilt aber folgende Regel: Erst sperren des gesamten Netzwerkverkehrs und nur wirklich notwendige Verbindungen dürfen die Firewall passieren.
4.1 Hard- oder Software
Firewall-Systeme gibt es als Software, die auf einem dafür vorgesehenen Server installiert wird oder als Hardwarevariante. Hardware-Lösungen enthalten Software die bestenfalls speziell auf die Hardware abgestimmt ist. Welches nun die eleganteste Variante ist, kann nicht 100%ig geklärt werden, da es für beide Varianten immer ein Pro und Contra gibt. Softwareprodukte, speziell OpenSource, bieten die Möglichkeit, sich anhand des Sourcecodes von der korrekten Funktionsweise selbst zu überzeugen.
4.2 Stateless (Static) IP Filtering Firewalls
Die Stateless Firewalls oder auch Static Firewalls sind ein etwas älteres Konzept. Sie arbeiten auf Schicht 3-4 des ISO/OSI-Schichtenmodells (Vermittlungsschicht-Steuerungsschicht). Daher werden die Pakete nicht ausgepackt. Es werden lediglich die Header jedes einzelnen Pakets begutachtet und anhand vordefinierter Regeln entschieden, ob diese zugelassen oder verworfen werden. Ausnahmen gibt es keine. Diese Regeln können auf ein- und ausgehende Daten gleichermassen angewandt werden. IP-Filter sind im Gegensatz zu anderen Konzepten leicht realisierbar und ressourcenschonend (CPU-Zeit). Eine sehr gut ausgeprägte Implementierung einer Stateless-Firewall ist das OpenSource Projekt IPFilter/Netfilter.
Wie der Name schon sagt, sind diese Art von Firewalls statisch. Existiert also eine Route (Portweiterleitung) auf ein System im internen Netz, so ist sie ständig vorhanden. Zusätzlich ergeben sich Probleme bei komplizierteren Protokollen wie z.B. FTP.
Um diesen Problematiken entgegenzukommen, wurden Stateful IP Filtering Firewalls entwickelt.
4.2.1 Zusammenfassung Stateless Filtering
Nach folgenden Kriterien können Filterregeln aufgestellt werden:
- IP, TCP, UDP, ICMP können
- Quell- und Zieladresse
- Quell- und Zielport bei TCP und UDP oder Type-Code bei ICMP
- Eingangs- und Ausgangsinterface
4.3 Stateful IP Filtering Firewalls
Stateful Packet Filter arbeiten nach dem gleichen Schema wie Stateless Packet Filter. Weiterhin sind sie in der Lage, Verbindungen zu überwachen. Das bedeutet, sie können dynamisch entscheiden, ob ein Datenpaket an einem bestimmten Port vertrauenswürdig ist, oder nicht.
Stateful IP Filter sind in der Lage zu überprüfen, ob z.B. ein FTP-Paket das von aussen durch das Firewall System will, zu einem Stream gehört, der von einem Client im lokalen Netzwerk initiert wurde.
4.4 Application Level Gateways (Proxy)
Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Schichtenmodells. Für jeden Dienst (HTTP, FTP) muss ein Proxy vorhanden sein. Das Gateway vermittelt dann die Daten zwischen lokalem und öffentlichem Netzwerk. Es nimmt also Anfragen eines Clients am Proxydienst entgegen und leitet sie nach Prüfung an den entsprechenden Server im Internet weiter. Antworten eines Servers werden zurück an das Gateway geschickt und nach Prüfung wieder an den Client ausgeliefert. Ein direkter Austausch von Daten zwischen Client und Zielrechner findet also nicht statt.
Proxys sind in der Lage eine Inhaltsfilterung (Content Filter) durchzuführen. Damit ist es möglich, z.B. bekannte Angriffsszenarien auf Anwendungsebene zu filtern.
Da der Aufwand, für jeden Dienst einen Proxy-Dienst bereitstellen zu müssen, sehr aufwendig ist, gibt es Socks4 und Socks5 Proxys. Socks-Proxys bieten den Clients im privaten Netzwerk einen Port an (meistens 1080) über den der Client dem Proxy mitteilt, welche Zielserver erreicht werden soll und welcher Dienst gefordert ist. Der Socks-Proxy kommuniziert dann anstelle des Clients mit dem Server und vermittelt die Daten.
Socks4 Proxys beschränken sich darauf, Verbindungsanfragen zu verarbeiten, Proxy-Regeln umzusetzen und Anwendungsdaten weiterzuleiten. Auf Authentifizierungsmechanismen wird vollständig verzichtet. Weiterhin unterstützen sie nur TCP-Verbindungen.
Socks5 erweitert den Umfang mit starken Authentifierungsmechanismen und UDP-Unterstützung.
Hinweis: Auf einem ALG darf kein Routing aktiviert sein, da sonst an dem Proxy vorbeigeroutet würde.
4.5 Hybrid Level Gateways
Hybrid Level Gateway vereinen die Funktionalitäten des Application Level Gateways und der Stateful IP Filtering Firewall.
5. Vor- und Nachteile von Firewalls
Firewalls sind in der heutigen Zeit unerlässlich, daher spielt es keine Rolle welche Nachteile dadurch entstehen. Solange die Zweckmäßigkeit zu den zu schützenden Daten im Verhältnis zu dem Firewall-Konzept erhalten bleibt, können solche Systeme transparent in die Arbeitsumgebung integriert werden. Angriffe auf Computersysteme aus dem Internet sind an der Tagesordnung. Jedes an einem größeren Netzwerk angeschlossene System ist ein potenzielles Ziel für Angriffe jeglicher Art.
- Arbeit zitieren
- Benjamin Machuletz (Autor:in), 2005, Einführung in Firewall Systeme, München, GRIN Verlag, https://www.grin.com/document/109558