Einführung in Firewall Systeme

Inhaltsverzeichnis

1. Einleitung

2. Definition

3. Was gilt es zu erreichen?
3.1 Wie sicher ist Sicher?

4. Arten von Firewalls
4.1 Hard- oder Software
4.2 Stateless (Static) IP Filtering Firewalls
4.2.1 Zusammenfassung Stateless Filtering
4.3 Stateful IP Filtering Firewalls
4.4 Application Level Gateways (Proxy)
4.5 Hybrid Level Gateways

5. Vor- und Nachteile von Firewalls

6. Weshalb Personal Firewalls schlecht sind
6.1 Gründe gegen den Einsatz von Personal Firewalls
6.2 Self Denial of Service (SelfDOS)
6.3 Fazit Personal Firewalls

7. Quellen

Anhang

I. Angriffsarten

I. I Denial of Service (DOS)

I. II Distributed Denial of Service (DDOS)

I. III Firewall Piercing

1. Einleitung

In der heutigen Zeit sind Daten ein besonders zu behandelndes Gut. In jeglicher erdenklichen Situation werden Daten bewusst oder unbewusst erfasst, die durch elektronische Systeme (z.B. Computersysteme) verarbeitet werden. Das Internet bildet ein stetig wachsendes Netzwerk zur Übertragung von Daten jeglicher Art. Gerade vertrauliche Daten sind daher besonders zu schützen. Damit vertrauliche Daten, z.B. Firmengeheimnisse, Personaldaten usw. nicht in die Hände von unberechtigten Personen gelangen, werden verschiedene Arten von Sicherheitsmassnahmen angewandt. Firewalls bilden einen erheblichen Bestandteil bei der Realisierung individueller Sicherheitskonzepte. Ziel von sog. Firewalls ist es den Zugriff auf und von Netzwerken einzuschränken.

2. Definition

Was ist eigentlich eine Firewall? Eine Firewall ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. Firewalls bestehen daher in der Regel aus mehreren Komponenten. Durch Einsatz einer Firewall werden die Sicherheitsinstrumente auf einen zentralen Punkt konzentriert. Meistens werden Firewalls eingesetzt um private von öffentlichen Systemen zu trennen. Sie können aber auch eingesetzt werden, um Übergriffe aus anderen Teilnetzen eines Intranets zu verweigern bzw. zuzulassen. Der Ausdruck Firewall ist für sog. Personal Firewalls also gänzlich unangebracht.

3. Was gilt es zu erreichen?

Eine Firewall soll eine Arbeitsumgebung vor unberechtigten Zugriffen schützen, aber dabei die eigenen Möglichkeiten so wenig wie möglich einschränken. D.h. Sicherheit steht immer im Verhältnis zu der zu erreichenden Produktivität.

3.1 Wie sicher ist Sicher?

Eine 100%ige Sicherheit kann niemand gewährleisten. Selbst das beste Sicherheitskonzept gilt als knackbar. Der Sinn eines solchen Konzepts ist es, den unberechtigten Zugriff möglichst auszuschliessen bzw. zu erschweren. Stehen Kosten- und Zeitaufwand ein System zu knacken mit den zu erlangenden Daten nicht überein, ist es nicht mehr rentabel Zugriff auf das System zu erlangen. Sicherheit ist zudem kein käufliches Produkt, Sicherheit wird vermittelt. Dabei müssen Administratoren wie auch andere Mitarbeiter dahingehen geschult werden.

4. Arten von Firewalls

Es gibt verschiedene Arten von Firewall Systemen. Für alle Systeme gilt aber folgende Regel: Erst sperren des gesamten Netzwerkverkehrs und nur wirklich notwendige Verbindungen dürfen die Firewall passieren.

4.1 Hard- oder Software

Firewall-Systeme gibt es als Software, die auf einem dafür vorgesehenen Server installiert wird oder als Hardwarevariante. Hardware-Lösungen enthalten Software die bestenfalls speziell auf die Hardware abgestimmt ist. Welches nun die eleganteste Variante ist, kann nicht 100%ig geklärt werden, da es für beide Varianten immer ein Pro und Contra gibt. Softwareprodukte, speziell OpenSource, bieten die Möglichkeit, sich anhand des Sourcecodes von der korrekten Funktionsweise selbst zu überzeugen.

4.2 Stateless (Static) IP Filtering Firewalls

Die Stateless Firewalls oder auch Static Firewalls sind ein etwas älteres Konzept. Sie arbeiten auf Schicht 3-4 des ISO/OSI-Schichtenmodells (Vermittlungsschicht-Steuerungsschicht). Daher werden die Pakete nicht ausgepackt. Es werden lediglich die Header jedes einzelnen Pakets begutachtet und anhand vordefinierter Regeln entschieden, ob diese zugelassen oder verworfen werden. Ausnahmen gibt es keine. Diese Regeln können auf ein- und ausgehende Daten gleichermassen angewandt werden. IP-Filter sind im Gegensatz zu anderen Konzepten leicht realisierbar und ressourcenschonend (CPU-Zeit). Eine sehr gut ausgeprägte Implementierung einer Stateless-Firewall ist das OpenSource Projekt IPFilter/Netfilter.

Wie der Name schon sagt, sind diese Art von Firewalls statisch. Existiert also eine Route (Portweiterleitung) auf ein System im internen Netz, so ist sie ständig vorhanden. Zusätzlich ergeben sich Probleme bei komplizierteren Protokollen wie z.B. FTP.

Um diesen Problematiken entgegenzukommen, wurden Stateful IP Filtering Firewalls entwickelt.

4.2.1 Zusammenfassung Stateless Filtering

Nach folgenden Kriterien können Filterregeln aufgestellt werden:

–- IP, TCP, UDP, ICMP können
–- Quell- und Zieladresse
–- Quell- und Zielport bei TCP und UDP oder Type-Code bei ICMP
–- Eingangs- und Ausgangsinterface

4.3 Stateful IP Filtering Firewalls

Stateful Packet Filter arbeiten nach dem gleichen Schema wie Stateless Packet Filter. Weiterhin sind sie in der Lage, Verbindungen zu überwachen. Das bedeutet, sie können dynamisch entscheiden, ob ein Datenpaket an einem bestimmten Port vertrauenswürdig ist, oder nicht.

Stateful IP Filter sind in der Lage zu überprüfen, ob z.B. ein FTP-Paket das von aussen durch das Firewall System will, zu einem Stream gehört, der von einem Client im lokalen Netzwerk initiert wurde.

4.4 Application Level Gateways (Proxy)

Application Level Gateways arbeiten auf Schicht 7 des ISO/OSI-Schichtenmodells. Für jeden Dienst (HTTP, FTP) muss ein Proxy vorhanden sein. Das Gateway vermittelt dann die Daten zwischen lokalem und öffentlichem Netzwerk. Es nimmt also Anfragen eines Clients am Proxydienst entgegen und leitet sie nach Prüfung an den entsprechenden Server im Internet weiter. Antworten eines Servers werden zurück an das Gateway geschickt und nach Prüfung wieder an den Client ausgeliefert. Ein direkter Austausch von Daten zwischen Client und Zielrechner findet also nicht statt.

Proxys sind in der Lage eine Inhaltsfilterung (Content Filter) durchzuführen. Damit ist es möglich, z.B. bekannte Angriffsszenarien auf Anwendungsebene zu filtern.

Da der Aufwand, für jeden Dienst einen Proxy-Dienst bereitstellen zu müssen, sehr aufwendig ist, gibt es Socks4 und Socks5 Proxys. Socks-Proxys bieten den Clients im privaten Netzwerk einen Port an (meistens 1080) über den der Client dem Proxy mitteilt, welche Zielserver erreicht werden soll und welcher Dienst gefordert ist. Der Socks-Proxy kommuniziert dann anstelle des Clients mit dem Server und vermittelt die Daten.

Socks4 Proxys beschränken sich darauf, Verbindungsanfragen zu verarbeiten, Proxy-Regeln umzusetzen und Anwendungsdaten weiterzuleiten. Auf Authentifizierungsmechanismen wird vollständig verzichtet. Weiterhin unterstützen sie nur TCP-Verbindungen.

Socks5 erweitert den Umfang mit starken Authentifierungsmechanismen und UDP-Unterstützung.

Hinweis: Auf einem ALG darf kein Routing aktiviert sein, da sonst an dem Proxy vorbeigeroutet würde.

4.5 Hybrid Level Gateways

Hybrid Level Gateway vereinen die Funktionalitäten des Application Level Gateways und der Stateful IP Filtering Firewall.

5. Vor- und Nachteile von Firewalls

Firewalls sind in der heutigen Zeit unerlässlich, daher spielt es keine Rolle welche Nachteile dadurch entstehen. Solange die Zweckmäßigkeit zu den zu schützenden Daten im Verhältnis zu dem Firewall-Konzept erhalten bleibt, können solche Systeme transparent in die Arbeitsumgebung integriert werden. Angriffe auf Computersysteme aus dem Internet sind an der Tagesordnung. Jedes an einem größeren Netzwerk angeschlossene System ist ein potenzielles Ziel für Angriffe jeglicher Art.