IT-Academy Logo
Sign Up Login Help
Home - Netzwerke - Services - Was ist eine Firewall?



Was ist eine Firewall?

Der Begriff Firewall und deren Nutzen wird erklärt.


Autor: Franz Schaefer (mond)
Datum: 15-03-2002, 09:49:34
Referenzen: zless /usr/share/doc/HOWTO/en-txt/Firewall-HOWTO.txt.gz
http://directory.google.com/Top/World/Deutsch/Computer/Sicherheit/Firewall/
Schwierigkeit: Anfänger
Ansichten: 5159x
Rating: 2 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Übersicht

in naechster zeit wollen wir einwenig ueber firewalls lernen. mit dem
begriff firewall werden oft sehr unterschiedliche dinge gemeint. von einem
einfachen packet filterenden hardwareloesung bis zu komplexen security
loesungen aus 2, 3 oder mehreren rechnern.

grundsaetzlich kann man firewalls einmal in 2 gruppen teilen:

1. packet filter firewalls

2. application firewalls

die erste gruppe von firewalls filtert, wie der name schon sagt
netzwerkpackete. nur packete von und zu rechnern und ports die wirklich
gebraucht werden sollten auf der firewall freigeschalten sein den rest
sollte eine firewall filtern.

der typische aufbau sieht etwa so aus:

worldwide internet ---
---[[[ firewall ]]] ---
---- internes lan
|
DMZ

die packet filter firewall ist somit ein basis schutz der verhindert dass
z.b. jemand von aussen aus dem internet direkt auf einen firmeninternen
drucker oder fileserver zugreifen kann. umgekehrt muss auch der
uneingeschraenkte datentransfer vom internen netz nach aussen nicht
moeglich sein. email wird ohnehin meist ohnehin ueber einen email server
abgewickelt und zum surfen koennen die leute einen proxy eintragen. zugan
von innen nach aussen zu sperren ist desshalb wichtig damit nicht ein
trojan oder virus der auf einem rechner im lan gelandet ist "nachhause
telefonieren" kann. d.h. eine verbindung nach aussen machen ueber die dann
ein hacker die kontrolle ueber einen rechner im inneren uebernehmen kann.

das heisst also dass wir die sicherheit die eine firewall bietet mit einem
verlusst an komfort bezahlen muessen. wir koennen jetzt hinter einer
firewall nicht mehr so einfach filesharing tools oder aehnliches
verwenden. je dichter wir die firewall machen desto muehsamer wird die
internet benutzung.

eine solche abschirmung kann natuerlich nie perfekt sein solange man das
intenetz noch irgendwie benuetzen will kann ein hacker z.b. einen tunnel
ueber webrequests oder DNS requests aufbauen, etc..

da IP addressen (zumindest im jetzt noch gebrauechlichen ipv4) netz schon
langsam rar werden (32 bit sind 4 Giga addressen aber wir haben schon
ueber 6 Gig menschen) und die rechner in einem bueronetz ohnehin nicht
direkt aus dem netz erreichbar sein sollen verwendet man in einem internen
netz vorallem private IP addresse die nicht im oeffentlichen internet
geroutet werden (siehe RFC1597: 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16). sollen die computer im internen lan dennoch direkte
verbindunden nach aussen aufbauen koennen so muss die firewall die IP
packete umschreiben damit sie so aussehen als kaemen sie von einer echten
IP addresse. man nett das "masquerading" oder NAT.

ueblicherweise will man auch server betreiben die von aussen aus sichtbar
sind. diese server will man aber nicht voellig ungeschuetzt ins netz
lassen sondern nur die ports aufmachen die wirklich benoetigt werden. ein
riskiko besteht natuerlich dennoch und damit der moegliche schaden
beschraenkt bleibt wenn so ein rechner gehackt wird verbannt man solche
server ueblicherweise in einen speziell abgesicherten bereich.
(ueblicherweise DMZ - "demilitarized zone" - genannt)

komplexere firewalls koennen natuerlich mehrere soclher DMZ haben und
eventuell auch mehrere getrennte interne LANs verwalten. weiters kann man
groessere firewallsysteme aus mehren einzelnen packet filtern aufbauen.

die groesste bedrohnung geht allerdings heute kaum noch von angriffen aus
wo sich hacker direkt auf ein port connecten. die weitaus groesste gefahr
sind angriffe durch viren und trojans die via emails verbreitet werden.
weiters sind bugs in browsern und office packeten die das ausfuehren von
beliebigen programmcode erlauben eine der groessten gefahren.

wozu erst muehsam durch eine firewall hacken wenn es reicht einem einzigen
unbedarften mitarbeiter ein .exe file zu mailen dass dieser ohne bedenken
anklickt. der virus/trojan hat damit ueblicherweise die totale kontrolle
ueber den computer des opfers. neben dem schaden den der virus/trojan
direkt anrichten kann ist auch ein "nachhause telefonieren" kaum wirklich
aufzuhalten.

computersicherheit ist damit heutzutage in netzwerken die auf mircosoft
windows technologie aufbauen defakto nicht existent. daran aendert auch
die beste packet firewall nichts.

eine leichte entschaerfung der situtation koennen nur application
firewalls bringen:

application firewalls filtern nicht blos auf der ebene von IP addressen
sondern auf der ebene der verwendeten applicationen. d.h. z.b. ein filter
fuer emails dass eben nur emails durchlaesst und aus diesen potentiell
gefaehrlichen inhalt (d.i forallem alle microsoft office dateiformate,
etc..) entfernt. oder ein web proxy der die webseiten die er an den
browser liefert von gefaehrlichen plugins oder javascript befreit. hat man
keinen filternden webproxy dann sollte man tunlichst darauf zu achten
immer eine aktuelle browserversion zu verwenden und alle extrfeatures wie
javascript, java, plugins, etc.. weitestgehend zu deaktivieren.

die oben angefuehrte regel dass wir uns die sicherheit mit einem verzicht
auf manchen komfort erkaufen muessen gilt also auch hier. wollen wir
sicherheit so muessen wir eben auf manche webseiten mit javascript
schnickschnack verzichten und duerfen keine dokumente in unsicheren office
formaten austauschen. verantwortungsvolle IT manager planen daher schon
heute den ausstieg aus der microsoft einbahnstrasse.

in einer der naechsten CD folgen lernen wir wie wir packet filter
firewalls mit linux realisieren.

EXERCISES:

* diskutiere aktuelle sicherheitsrisken und in welcher form sie von
verschiedenen firewall loesungen entschaerft werden koennen.

_______________________________________________
CD ist ein service von SILVER SERVER
der inhalt unterliegt der GFDL
_______________________________________________



[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04506
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06243
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1142
Comments: 0