Es gibt drei Hauptkategorien von Firewalls: Paketfilter, Vermittler-
oder Transportschicht-Gateway (Circuit Gateway)
und Anwendungsschicht-Gateway (Application Gateway).
[FSI-96]
Zusätzlich verfügen Router noch über nützliche Informationen zur Filterung von Paketen, die nicht aus dem
Header hervorgehen:
Proxy-Server erhöhen die Sicherheit bei der Nutzung von Internetdiensten
dadurch, daß sie als Mittler zwischen internen Hosts (im LAN) und externen
Hosts (im Internet) auftreten.
Interne Hosts, die eine Verbindung nach außen aufbauen möchten kontaktieren
den Proxy-Server. Dieser prüft zunächst, ob die Verbindung zuläßig ist oder
nicht und baut anschließend die Verbindung zu dem eigentlichen Ziel im
Internet stellvertretend für den Client auf oder gibt eine Fehlermeldung an den Client zurück.
Abbildung 3.3 veranschaulicht das Prinzip von Proxy
Verbindungen.
Circuit Gateways oder Transportschicht-Gateways arbeiten auf der
Transportschicht im TCP/IP-Stack (siehe Abbildung 2.2).
Sie vermitteln als Relais TCP-Verbindungen. Eine externe Verbindung
geht auf einem TCP-Port des Gateway ein, dieser kontaktiert dann ein
internes Ziel. Während die Verbindung besteht, kopiert das Gateway die
Daten zwischen den Schnittstellen um. Das Gateway spielt ,,Draht`` oder
,,Funkrelais``.[FSI-96]
Circuit Gateways kontrollieren den Datenverkehr ähnlich wie Paketfilter
nur an Hand von Source- und Destinationadressen bzw. Source- und
Destinationport. Sie sind nicht in der Lage den Inhalt von Datenpakten
zu kontrollieren, da Transportschicht-Gateways das Anwendungsprotokoll
(FTP, SMTP, TELNET usw.) nicht interpretieren können. Dies ist auch der
Grund dafür, daß Standard-Clientprogramme nicht mit Circuit-Gateways
zusammenarbeiten. Man muß sie entsprechend modifizieren. Weitere Nachteile
von Transportschicht-Gateways sind, daß sie sehr wenig Kontrollmöglichkeiten
zur Analyse des Datenverkehrs bieten und daß die meisten
Loginginformationen auf der Seite des Clients protokolliert werden und damit
nur schwierig zentral auswertbar sind. Dafür sind sie für fast alle
Protokolle verfügbar.
Ein bekanntes und weitverbreitetes Softwarepaket, das Transportschicht-
Gateways implementiert ist SOCKS. Man findet es im Internet unter
ftp://ftp.nec.com/pub/security/socks.cstc/ oder unter
ftp://coast.cs.purdue.edu/pub/tools/unix/socks/. Um Standard-Clients
mit SOCKS verwenden zu können, müssen diese mit der mitgelieferten
SOCKS-Library neu kompiliert werden.
Applikation Gateways arbeiten auf der Anwendungsschicht im
TCP/IP-Protokollstack (siehe Abb 2.2). Sie sind in der Lage das
jeweilige Protokoll zu interpretieren und können deshalb mit unveränderter
Client-Software verwendet werden. Eine weitere positive Eigenschaft ist,
daß der gesamte ein- und abgehende Verkehr kontrolliert und protokolliert
werden kann. Dadurch ist eine zentrale Auswertung der Logdaten möglich.
Der Hauptnachteil von Anwendungsschicht-Gateways liegt darin, daß für die
meisten angebotenen Dienste spezielle Benutzeroberflächen oder -programme
bereitgestellt werden müssen. [FSI-96]
Das TIS Firewall Toolkit der Firma ,,Trusted Information Systems``
ist ein Softwarepaket, das leistungsfähige Application-Gateway-Programme
bereitstellt. Derzeit ist das Toolkit für nichtkommerzielle Anwendungen
frei verfügbar und kann unter http://www.tis.com/research/software/ im Internet heruntergeladen werden.
Circuit Gateway | Application Gateway |
Erfordert wenig Rechenleistung | Einsatz mit unveränderter Client-Software |
Für sehr viele Protokolle verfügbar | Detaillierte Überwachung von Verbindungen |
Umfangreiche Logging-Funktionalitäten |
Circuit Gateway | Application Gateway |
Erfordert modifizierte Client-Software | Erfordert mehr Rechenleistung |
Eingeschränkte Logging-Funktionalität | Schwieriger zu installieren |
Eingeschränkte Benutzer-Authentifikation |
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
Durch den Einsatz von NAT kann man die interne Struktur (IP-Adressen, Hostnamen usw.) eines LAN vor der Außenwelt verstecken.
NAT wird auch als ip-masquarading oder ip-aliasing bezeichnet.