next up previous contents index
Nächste Seite: Firewall-Architekturen Aufwärts: Firewalls Vorherige Seite: Definitionen und Begriffe   Inhalt   Index


Arten von Firewalls

Es gibt drei Hauptkategorien von Firewalls: Paketfilter, Vermittler- oder Transportschicht-Gateway (Circuit Gateway) und Anwendungsschicht-Gateway (Application Gateway). [FSI-96]

1.
Paketfilter
1.1
Statische Paketfilter
Ein Paketfilter-System kontrolliert den Datenverkehr zwischen internen und externen Hosts. Dabei werden Pakete basierend auf den Filterregeln, die durch das Netzwerksicherheitskonzept vorgegeben sind, blockiert oder zugelassen.
Paketfilter nutzen folgende IP-Header Informationen zur Entscheidung, ob ein Paket zulässig ist oder nicht:

Zusätzlich verfügen Router noch über nützliche Informationen zur Filterung von Paketen, die nicht aus dem Header hervorgehen:

1.2
Dynamische oder kontextabhängige Paketfilter
Dynamische Paketfilter können zusätzlich zur Filterungsfähigkeit auf IP- und TCP-Ebene Kontext speichern. Diese Fähigkeit wird auch als stateful packetfiltering bezeichnet. Da UDP kein ACK-Bit besitzt, kann ein statischer Paketfilter nicht anhand des Headers des UDP-Paketes erkennen, ob es sich um das erste Paket von einem externen Client an einen internen Server handelt, oder um die Antworten von einem externen Server an einen internen Client. Dynamische Paketfilter speichern nach außen gesendete UDP-Pakete. Dadurch besteht für sie die Möglichkeit, nur erwartete Antworten durch den Filtermechanismus passieren zu lassen. Für sie gelten nur diejenigen Pakete als akzeptable Antwort, die von demselben Rechner und demselben Port kommen, an die die Anfrage ursprünglich gerichtet wurde und deren Ziel derselbe Rechner und Port sind, von denen die Anfrage ausging. Der dynamische Paketfilter speichert also den Socket3.3 eines gesendeten Paketes und überprüft ein ankommendes Paket, ob Zieladresse und Zielport dieses Sockets mit der Quelladresse und dem Quellport eines Sockets übereinstimmen, das er zuvor gespeichert hat. Ebenso müssen Quelladresse und Quellport des ankommenden Paketes mit Zieladresse und Zielport eines zuvor gesendeten Paketes übereinstimmen. Da sich dadurch die Paketfilterregeln dynamisch änderen, wird diese Art von Paketfilter als dynamisch bezeichnet. [fwstud]

2.
Proxy

Proxy-Server erhöhen die Sicherheit bei der Nutzung von Internetdiensten dadurch, daß sie als Mittler zwischen internen Hosts (im LAN) und externen Hosts (im Internet) auftreten.
Interne Hosts, die eine Verbindung nach außen aufbauen möchten kontaktieren den Proxy-Server. Dieser prüft zunächst, ob die Verbindung zuläßig ist oder nicht und baut anschließend die Verbindung zu dem eigentlichen Ziel im Internet stellvertretend für den Client auf oder gibt eine Fehlermeldung an den Client zurück. Abbildung 3.3 veranschaulicht das Prinzip von Proxy Verbindungen.

Abbildung 3.3: Prinzip von Proxy-Verbindungen, Quelle: [BIF-96] S. 62
\includegraphics{/home/klaus/.html-data/graphiken/proxyConnection.eps}

2.1
Circuit Gateway (Circuit-Proxy)

Circuit Gateways oder Transportschicht-Gateways arbeiten auf der Transportschicht im TCP/IP-Stack (siehe Abbildung 2.2). Sie vermitteln als Relais TCP-Verbindungen. Eine externe Verbindung geht auf einem TCP-Port des Gateway ein, dieser kontaktiert dann ein internes Ziel. Während die Verbindung besteht, kopiert das Gateway die Daten zwischen den Schnittstellen um. Das Gateway spielt ,,Draht`` oder ,,Funkrelais``.[FSI-96]
Circuit Gateways kontrollieren den Datenverkehr ähnlich wie Paketfilter nur an Hand von Source- und Destinationadressen bzw. Source- und Destinationport. Sie sind nicht in der Lage den Inhalt von Datenpakten zu kontrollieren, da Transportschicht-Gateways das Anwendungsprotokoll (FTP, SMTP, TELNET usw.) nicht interpretieren können. Dies ist auch der Grund dafür, daß Standard-Clientprogramme nicht mit Circuit-Gateways zusammenarbeiten. Man muß sie entsprechend modifizieren. Weitere Nachteile von Transportschicht-Gateways sind, daß sie sehr wenig Kontrollmöglichkeiten zur Analyse des Datenverkehrs bieten und daß die meisten Loginginformationen auf der Seite des Clients protokolliert werden und damit nur schwierig zentral auswertbar sind. Dafür sind sie für fast alle Protokolle verfügbar.
Ein bekanntes und weitverbreitetes Softwarepaket, das Transportschicht- Gateways implementiert ist SOCKS. Man findet es im Internet unter ftp://ftp.nec.com/pub/security/socks.cstc/ oder unter ftp://coast.cs.purdue.edu/pub/tools/unix/socks/. Um Standard-Clients mit SOCKS verwenden zu können, müssen diese mit der mitgelieferten SOCKS-Library neu kompiliert werden.

2.2
Application Gateway (Applikation-Proxy)

Applikation Gateways arbeiten auf der Anwendungsschicht im TCP/IP-Protokollstack (siehe Abb 2.2). Sie sind in der Lage das jeweilige Protokoll zu interpretieren und können deshalb mit unveränderter Client-Software verwendet werden. Eine weitere positive Eigenschaft ist, daß der gesamte ein- und abgehende Verkehr kontrolliert und protokolliert werden kann. Dadurch ist eine zentrale Auswertung der Logdaten möglich. Der Hauptnachteil von Anwendungsschicht-Gateways liegt darin, daß für die meisten angebotenen Dienste spezielle Benutzeroberflächen oder -programme bereitgestellt werden müssen. [FSI-96]
Das TIS Firewall Toolkit der Firma ,,Trusted Information Systems`` ist ein Softwarepaket, das leistungsfähige Application-Gateway-Programme bereitstellt. Derzeit ist das Toolkit für nichtkommerzielle Anwendungen frei verfügbar und kann unter http://www.tis.com/research/software/ im Internet heruntergeladen werden.

2.3
Application Gateway vs. Circuit Gateway
Die Nachfolgenden Punkte stammen aus [SiI].
  • Vorteile
       
    Circuit Gateway Application Gateway
       
    Erfordert wenig Rechenleistung Einsatz mit unveränderter Client-Software
    Für sehr viele Protokolle verfügbar Detaillierte Überwachung von Verbindungen
      Umfangreiche Logging-Funktionalitäten

  • Nachteile
       
    Circuit Gateway Application Gateway
       
    Erfordert modifizierte Client-Software Erfordert mehr Rechenleistung
    Eingeschränkte Logging-Funktionalität Schwieriger zu installieren
    Eingeschränkte Benutzer-Authentifikation  

3.
NAT - Network Address Translation RFC 1631
NAT wurde ursprünglich entwickelt um der zunehmenden Knappheit an verfügbaren IP-Adressen entgegenzuwirken. Der NAT-Mechanismus erlaubt es ein ganzes(!) Netzwerk mit nur einer einzigen IP-Adresse an das Internet anzuschließen. Im Prinzip macht NAT nichts anderes als interne IP-Adressen in die externe IP-Adresse umzusetzen und umgekehrt. Als interne IP-Adressen werden dabei Adressen aus den Bereichen ausgewählt, die nie im Internet verwendet werden dürfen, da sie für private IP-Netze reserviert sind. Diese privaten IP-Adressbereiche sind in RFC 1597 wie folgt definiert worden:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Durch den Einsatz von NAT kann man die interne Struktur (IP-Adressen, Hostnamen usw.) eines LAN vor der Außenwelt verstecken. NAT wird auch als ip-masquarading oder ip-aliasing bezeichnet.


next up previous contents index
Nächste Seite: Firewall-Architekturen Aufwärts: Firewalls Vorherige Seite: Definitionen und Begriffe   Inhalt   Index
Klaus Bauer 1999-10-20