Firewalls
Vorbemerkung:
Zum Schutz von privaten Netzen
(intranets) ist heute die Abschottung durch eine Firewall unerläßlich.
Hierbei gibt es verschiedene Techniken und Implementierungsverfahren, die
hier kurz erläutert bzw. diskutiert werden sollen.
Firewall-Techniken (Filterverfahren)
Man unterscheidet
zwischen:
Für den Einsatz auf einem
direkt ans Internet angeschlossenen PC gibt es außerdem noch die
sog. Personal Firewalls (oder Desktop
Firewalls), die separat besprochen werden.
Paketfilter
Paketfilter stellen die einfachste
Variante einer Firewall dar. Hierbei wird immer der sog. Header der einzelnen
Protokolle (IP-Header, ICMP-Header, TCP-Header, UDP-Header) überprüft
und in Abhängigkeit der eingestellten Filter-Regeln verarbeitet. man
unterscheidet hierbei drei Varianten:
| allow |
Paket wird durchgelassen |
| deny |
Paket wird verworfen
(Sender bekommt einen "Time
Out" bzw. keine Meldung) |
| reject |
Paket wird zurückgewiesen
(Sender bekommt eine Fehlermeldung) |
Vorteile:
-
gute Performance, aufgrund der
vergleichsweise geringen Funktionalität
-
einfache Konfigurierbarkeit bei
wenig komplexen Problemstellungen
Nachteile:
-
Missbrauch von Protokollen nicht
erkennbar (z.B. Fragmentation-Attack, bei der der TCP-Header auf das erste
und zweite Paket aufgeteilt wird)
-
Ausnutzung von Schwachstellen
(Buffer Overflow, WinNuke)
-
nur eingeschränkte Möglichkeiten
zur Protokollierung
-
keine Content-Filterung (z.B.
Active-X, Cookies, FTP-PUT)
-
unübersichtlich bei großer
Anzahl von Filterregeln (Fehlerquelle!)
Application
Level Firewalls (ALF)/ Proxy-Server
Das Application Level Firewall
wird in den Datenstrom zwischen Client und Server geschaltet und "spielt"
in Richtung Client den Server und stellt gegenüber dem Server den
Client da. Für jeden TCP-Dienst wird daher ein eigenes Programm (der
sog. Proxy) benötigt!
Vorteile:
-
ein Proxy arbeitet systembedingt
richtungsabhängig
-
eine Fehlfunktion des Proxy stellt
weitestgehend keine Sicherheitslücke dar, sondern unterbindet im Zweifelsfall
die Kommunikation
-
aufgrund der Arbeitsweise wird
auch die IP-Adresse des vor diesem Proxy liegenden Netzes nicht sichbar
Nachteile:
-
aufgrund der Bearbeitung auf
OSI-Layer 7 geringere Performance
-
nicht für alle Firewalls
und Applikationen gibt es Proxies (Abhilfe ggf. "Generic Proxy")
Stateful
Inspection
Diese von Checkpoint
eingeführet Filtertechnik (Informationen gibt's als Checkpoint
Produktbeschreibung bzw. in den Checkpoint
Tech Notes) ist in der Lage, sich die aktuellen Status- und Kontextinformationen
zu merken bzw. diese bei der Filterung zu berücksichtigen. Auf diese
Weise kann z.B. die Fragmentierungs-Attacke abgewendet oder ein manipulierter
Verbindungsaufbau erkannt werden. Firewalls stellen daher ein Zwischending
zwischen reinen Filtern und Application Level Firewalls dar. Dies gilt
auch für die Vor- und die Nachteile.
Aufbau eines (sicheren) Firewall-Systems
Bei geringen Anforderungen
reicht es, vor das zu schützende Netzwerk (Intranet) einen einzigen
Firewall-Rechner zu stellen. Bei mittleren bis hohen Anforderungen sollten
Sie sich jedoch für ein zweistufiges System entscheiden. Hier sind
zwei Firewalls (eine äußere und eine innere Firewall) über
eine sog. demilitarisierte Zone (DMZ) - manchmal auch Grenznetz
genannt - miteinander verbunden.
Auf diese Weise
ist das Intranet noch geschützt, selbst, wenn die äußere
Firewall kompromittiert worden sein sollte. Außerdem können
in dieser DMZ Rechner/ Server aufgestellt werden, die einer ausgewählten
Öffentlichkeit (z.B. Kunden) zugänglich gemacht werden sollen,
ohne dass diese gleich Zugriff auf das gesamte interne Netzwerk benötigen.
Personal
Firewalls/ Desktop Firewalls
Die sog. Personal Firewalls
(auch Desktop Firewalls genannt)
laufen, wie der Name schon sagt, auf dem PC selbst. Ihre Aufgabe ist es
- oder besser: soll es sein, Unzulänglichkeiten des Betriebssystems
auszugleichen, d.h. den Rechner vor Angriffen von außen zu schützen.
Hierzu gehören neben Java-
bzw. ActiveX-Angriffen, Denial
of Service-Attacken vor allem auch das Verhindern von fremden Zugriffen
von außen. Da einWindows PC normalerweise nur als Client verwendet
wird, demnach also keine Server (z.B. FTP-Server, Mail-Server) gestartet
sind, über die aktiv auf den PC zugegriffen werden könnte, ist
dies nur möglich, wenn der Rechner mit einem Trojaner
(z.B. netbus
oder subseven)
verseucht ist. Daraus kann man aber umgekehrt folgern: Wer seinen PC "sauber
hält", weil er entweder keine dubiosen Files annimmt bzw. downloaded
und/ oder weil er einen Virenscanner benutzt, benötigt hierfür
keine Personal Firewall. Da man sich vor Java-/ ActiveX-Angriffen
durch entsprechende Browser (es muss ja nicht der MS IE sein!) oder zumindest
Browser-Einstellungen schützen kann und gegen Denial of Service-Attacken
i.a. sichere bzw. gepatchte Betriebssysteme weiterhelfen, ist die Sinnhaftigkeit
solcher Personal Firewalls wohl mehr in den Bilanzen der Unternehmen,
als in einer (sicherheits-)technischen Notwendigkeit beim Anwender zu finden.
Was als Aufgabe
bleibt, ist ggf. der Schutz vor Spyware,
die kann man allerdings - wenn nötig - mit OptOut
erkennen und beseitigen kann.
Sollte man sich
dennoch für eine Personal Firewall entscheiden, muss man berücksichtigen,
dass diese Software auch Systemressourcen "frisst" (und teilweise nicht
zu knapp!), den PC u.U. destabilisiert und auch nicht alle o.g. Probleme
erkennt bzw. beseitigt. Deshalb sollte man über eine Kombilösung
aus mehreren Produkten nachdenken und auch lieber nicht den Versprechungen
der Hersteller vertrauen. Ziehen Sie besser unabhängige Tests heran,
wie sie z.B. in der
PC PRO 3/2000 oder im tecChannel
online veröffentlicht und diskutiert werden.
Ein verwandtes
Thema ist auch der Einsatz von Proxy-Servern, wie z.B. Wingate.
Sollten Sie weitere
Fragen zu diesem Thema haben, dann posten Sie diese bitte in meinem
Forum, senden mir eine E-Mail
oder - am besten - besuchen mich auf einer meiner Schulungen.
 |
(Diese
Seite wurde erstellt am 22.08.2000,
der letzte Update fand statt
am 24.11.2001) |