Firewall-Techniken

Brandmauer gegen digitale Eindringlinge

12.01.2007 | Redakteur: Peter Schmitz

Ein Netzwerk ohne Schutz durch eine Firewall ist in der heutigen Zeit nicht mehr vorstellbar, so unverzichtbar ist diese Technologie geworden. Aber was steckt genau dahinter, wie funktionieren Firewalls und welche unterschiedlichen Konzepte gibt es. Security-Insider liefert Ihnen einen kurzen Überblick über dieses wichtige Thema.

Abstrakt betrachtet ist eine Firewall ein Sicherheitskonzept, das auf dem Verbindungspunkt zwischen zwei Netzwerken oder zwischen einem Computer und dem Netzwerk wirkt. Konkreter unterscheidet man zwischen verschiedenen Einsatzgebieten, verschiedenen Konzepten und auch in Hard- und Softwarelösungen.

Desktop- und externe Firewalls

Zunächst trennt man im Allgemeinen zwischen einer Desktop-Firewall und einer externen Firewall. Erstere ist Software, die auf dem zu schützenden Betriebssystem installiert wird und somit nur diesen Rechner schützt. Eine externe Firewall ist dagegen ein Gerät mit mindestens zwei, meist drei oder mehr Netzwerkanschlüssen, das verschiedene Netze verbindet, die gerouteten Pakete regelbasiert untersucht und bei einem Regelverstoß blockt.

Desktop-Firewalls (auch Personal Firewalls genannt) machen nicht nur im Heimbereich Sinn, sondern man findet sie durchaus im Firmenumfeld. Sei es in Form der Windows-eigenen Firewall oder als eines der zahlreichen, meist deutlich leistungsfähigeren Alternativprodukte. Nicht nur mobile Computer, die oft direkt mit dem Internet verbunden sind, sollten mit einer Desktop-Firewall ausgestattet sein, auch firmeninterne PCs lassen sich mit einer Desktop-Firewall effektiv gegen interne Angreifer schützen, schließlich kann „malicious Code“ auch über USB-Speicher oder Disketten ins LAN eingeschleppt werden, was eine externe Firewall nicht verhindern kann.

Externe Firewalls separieren in der Regel das interne Netzwerk vom Internet, bietet also gegen netzwerkinterne Angriffe keinen Schutz. Gegen Angriffe aus dem Internet darf eine Hardwarefirewall als wirkungsvoller als eine Desktop-Firewall angesehen werden, da sie eine physische Schutzschicht vor den zu schützenden Geräten darstellt und statt derer die Verbindung zu Ressourcen im Web aufbaut. Die zu schützenden Geräte hinter der Firewall werden von dieser also vor eventuellen Angreifern versteckt, denn der Angreifer sieht als Absenderadresse lediglich die IP-Adresse der Firewall.

Weiter bietet eine externe Firewall, sofern ein weiterer Netzwerkport vorhanden ist, die Möglichkeit, eine echte DMZ (Demilitarized Zone) aufzubauen. Also ein Netz, das zwischen Trusted- (innen, LAN) und Untrusted- (außen, Internet) Seite liegt und auf das von beiden Seiten unterschiedliche Zugriffesmöglichkeiten definiert werden können. So kann die Firewall den Zugriff auf einen Nameserver in der DMZ derart regeln, dass von außen lediglich DNS-Queries möglich sind, vom LAN aus aber auch der SSH-Zugriff, um den DNS zu verwalten.

Verschiedene Firewall-Konzepte

Die einfachste Form einer Firewall nennt man Paketfilet Firewall. Sie arbeitet auf den Schichten 3 und 4 des OSI-Modells und kennt entsprechend IP Adressen und Ports. Damit lässt sich beispielsweise eine Regel definieren, die besagt, dass auf die IP-Adresse eines Webservers ausschließlich über Port 80 zugegriffen werden kann und versteckt damit beispielsweise heikle Ports, wie die Netbios-Ports unter Windows oder den SSH-Port bei Linux-Servern.

Ein anderes, intelligenteres Firewall-Konzept nennt sich ALF, das steht für Application Level Firewall. Wie der Name bereits verdeutlicht, verstehen diese Arten von Firewalls den IP Traffic bis hinauf auf den Application Layer des OSI-Modells. Anders als eine Paket-Filter-Firewall, die nur die einzelnen Pakete des Datenstroms sieht mit Source- und Zieladresse /-port, „versteht“ eine ALF den Datenstrom. Mit einer ALF ist es beispielsweise möglich, bestimmte Web-Adressen zu sperren, denn sie erkennt ja die URL in der Anfrage, was beispielsweise auch missgebildete URLs keine Chance lässt, die am Webserver eventuell einen Buffer Overflow verursachen könnten – eine gängige Hacker-Methode. Oder sie kann den eingehenden Datenstrom auf ungewollte Inhalte überprüfen, JavaScript oder Active-X-Controls zum Beispiel, und diesen blockieren. Die Aufgabe einer ALF ist rechenintensiv. Um sie von Standardaufgaben zu entlasten, ist einer ALF üblicherweise ein Paketfilter vorgeschaltet, und zwar bei jedem Netzwerk-Port der Firewall.

Im Deutschen ist die korrekte Ausdrucksweise übrigens tatsächlich „die“ Firewall (und nicht etwa – obwohl oft benutzt: „der“ Firewall), da die sinngemäße Übersetzung nicht „der Feuerwall“ ist, sondern „die Brandmauer“. Ein weiterer, oft benutzter Begriff für ein Firewall-Konzept ist Stateful Inspection. Obwohl dieser Begriff eigentlich von der Firma Checkpoint geprägt wurde, so wird er inzwischen auch zur Konzeptbezeichnung der Firewalls anderer Hersteller verwendet. Eine Stateful Inspection Firewall ist prinzipiell nichts anderes als die Integration eines ALF und eines Paketfilters in einem System.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2001786 / Netzwerk-Security-Devices)